Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: C:\Windows\system32\sshnas21.dll -- Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.10.2010, 14:09   #1
geoosm
 
C:\Windows\system32\sshnas21.dll -- Trojaner - Standard

C:\Windows\system32\sshnas21.dll -- Trojaner



Hallo zusammen,

Benutze Windows XP mit SP3

Mein Problem äußerte sich in 2 Erscheinungen. Erstens wurden in meinem Browser (Firefox) Links umgeleitet. Dies passierte, wenn ich Google-Suchergebnisse mit STRG+Klick auf Link in einem neuen Tab geöffnet habe.
Zweitens hatte ich einen mir unbekannten Prozeß bhobmh.exe im Windows-Ordner. Wenn ich diesen Prozeß beendet habe kam er wieder, also habe ich ihn gelöscht. Ein Antivir-Scan und Spybot Search&Destroy fand nix. Am nächsten Tag hatte ich plötzlich 2 Prozesse die jeweils 50% CPU-Last hatten. Wenn ich einen Prozeß beendet habe, wurde ein weiterer gekapert. Das waren normale Prozesse wie Babylon. Ich konnte den Rechner nicht runterfahren, hab ihn also mittels Hardwareschalter ausgemacht.

Habe den Rechner dann mit Desinfec't gescannt. Leider ging nur Antivir.
Ergebnis:
Code:
ATTFilter
/media/sda2/System Volume Information/_restore{665B3943-02C5-4CF8-B1B6-60BBD5935A18}/RP44/A0030374.exe
 last modified on  Date: 2006-12-08  Time: 10:34:08,  Size: 21597 bytes
 ALERT: TR/Renaz.21597 ; trojan ; Is the Trojan horse TR/Renaz.21597

/media/sda2/WINDOWS/system32/sshnas21.dll
 last modified on  Date: 2010-10-13  Time: 15:30:48,  Size: 245760 bytes
 ALERT: TR/Crypt.EPACK.Gen2 ; trojan ; Is the Trojan horse TR/Crypt.EPACK.Gen2
         
Hab dann beides gelöscht und unter Windows die Load.exe ausgeführt.
Hier nun die Logfiles.

In Malwarebytes habe ich alles reparieren lassen. Doch was ist mit den GMER und OTL Ergebnissen. Wie soll ich damit verfahren und kann ich mit defogger auf enable schalten.

Vielen Dank schon mal im Voraus für Eure Hilfe.
mfg
Alex

Alt 23.10.2010, 20:22   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\Windows\system32\sshnas21.dll -- Trojaner - Standard

C:\Windows\system32\sshnas21.dll -- Trojaner



Hallo und

Zitat:
Datenbank Version: 4895
Sieht aus als wäre Malwarebytes nicht ganz so aktuell gewesen. Mach mal bitte ein Update mit Malwarebytes und starte dann nochmal einen Vollscan.
__________________

__________________

Alt 23.10.2010, 23:35   #3
geoosm
 
C:\Windows\system32\sshnas21.dll -- Trojaner - Standard

C:\Windows\system32\sshnas21.dll -- Trojaner



Dank dir für deinen Hinweis.
Hab Malwarebytes jetzt nochmal laufen lassen, hat aber nix mehr gefunden.
Zum Zeitpunkt als ich den Scann mit den Funden hab laufen lassen, war die DB-Version aber aktuell.
__________________

Alt 23.10.2010, 23:47   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\Windows\system32\sshnas21.dll -- Trojaner - Standard

C:\Windows\system32\sshnas21.dll -- Trojaner



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 23.10.2010, 23:58   #5
geoosm
 
C:\Windows\system32\sshnas21.dll -- Trojaner - Standard

C:\Windows\system32\sshnas21.dll -- Trojaner



okay werd ich morgen machen. Dank dir für die Hilfe.

Was ist mit den Logfiles von OTL und Gmer? Muss ich da irgendwas fixen?


Alt 24.10.2010, 00:01   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\Windows\system32\sshnas21.dll -- Trojaner - Standard

C:\Windows\system32\sshnas21.dll -- Trojaner



Nein da muss noch nichts gefixt werden. Ich brauch erstmal das Log von CF.
__________________
--> C:\Windows\system32\sshnas21.dll -- Trojaner

Alt 24.10.2010, 00:52   #7
geoosm
 
C:\Windows\system32\sshnas21.dll -- Trojaner - Standard

C:\Windows\system32\sshnas21.dll -- Trojaner



Habs doch noch schnell gemacht. Erst den CCleander laufen lassen und dann Cofi.
Da nen Windows-Neustart gemacht wurde, war natürlich auch Antivir und Spybot Search&Destroy wieder da. hab dann beides deaktiviert während cofi lief. Vielleicht sollte man beides aus dem Autostart rausnehmen. Stand aber nicht in der Anleitung.

schönen Gruß
Alex

Alt 24.10.2010, 13:25   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\Windows\system32\sshnas21.dll -- Trojaner - Standard

C:\Windows\system32\sshnas21.dll -- Trojaner



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Filelook::
c:\windows\system32\sfcfiles.dll
c:\windows\system32\appmgmts.dll

File::
c:\windows\Tasks\Low Battery Alarm Program.job
c:\windows\system32\mshearts.exe
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.10.2010, 15:14   #9
geoosm
 
C:\Windows\system32\sshnas21.dll -- Trojaner - Standard

C:\Windows\system32\sshnas21.dll -- Trojaner



Hab ComboFix erst noch aktualisieren lassen.

Für die 2 Zeilen unter File bin ich verantwortlich. Hab den Job (Task) angelegt und msheart als Programm zum ausführen benutzt. Ne kleine Rumspielerei.

Den Job hat er jetzt wohl gelöscht, ist aber nicht so schlimm.

Alt 24.10.2010, 15:32   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\Windows\system32\sshnas21.dll -- Trojaner - Standard

C:\Windows\system32\sshnas21.dll -- Trojaner



Ok, sah merkwürdig aus, deswegen hab ich das gefixt.

Lad mal diese Datei runter => File-Upload.net - geoosm.zip
Und entpack sie nach c:\geoosm - die Dateien müssen direkt in diesem Ordner so liegen:

c:\geoosm\sfcfiles.dll
c:\geoosm\appmgmts.dll



Danach müssen wir nochmal mit CF ran:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
FCopy::
c:\geoosm\sfcfiles.dll | c:\windows\system32\sfcfiles.dll
c:\geoosm\appmgmts.dll | c:\windows\system32\appmgmts.dll
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.10.2010, 16:28   #11
geoosm
 
C:\Windows\system32\sshnas21.dll -- Trojaner - Standard

C:\Windows\system32\sshnas21.dll -- Trojaner



so fertig. Log im Anhang.

Hatten die beiden dll's ne falsche Größe?

Alt 24.10.2010, 19:37   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\Windows\system32\sshnas21.dll -- Trojaner - Standard

C:\Windows\system32\sshnas21.dll -- Trojaner



Die hatten die falsche Prüfsumme, deswegen glaubte ich an eine Manipulation dieser beiden Dateien. Machen Schädlinge mittlerweile
Aber ich hab die beiden Dateien mit Exemplaren aus meiner Windows-Installation ersetzt, die sind definitiv sauber.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.10.2010, 20:47   #13
geoosm
 
C:\Windows\system32\sshnas21.dll -- Trojaner - Standard

C:\Windows\system32\sshnas21.dll -- Trojaner



ich mach jetzt gerad die Scans.

Aber wohl 2 probleme. Als gestern zum ersten Mal cofi.exe lief, machte das Programm nen Neustart. danach kam auch ne Fehlermeldung, die ich aber nicht sehen konnte. Jetzt hab ich sie gesehen.

Und zwar meldet der Update-Prozess von Starmoney, dass er das Profilverzeichnis nicht finden kann (ist aber da). hab das jetzt noch nicht weiter getestet, aber das war vor dem cofi-Scan noch nicht.


Das 2. betrifft nicht diese Geschichte und war eigene Dummheit. Sorry ;-)

Geändert von geoosm (24.10.2010 um 21:19 Uhr)

Alt 25.10.2010, 00:24   #14
geoosm
 
C:\Windows\system32\sshnas21.dll -- Trojaner - Standard

C:\Windows\system32\sshnas21.dll -- Trojaner



so erstmal fertig. Im Anhang die logs. Es gab leichte Probleme beim gmer-Scann.

Also zusätzlich zum geposteten Problem mit Starmoney, hab ich noch folgendes Problem, welches vorher nicht auftrat.

Mit msconfig.exe hatte ich Antivir und TeaTimer im Autostart deaktiviert. Wenn ich auf übernehmen klicke, dann erhalte ich die Meldung:

Code:
ATTFilter
Es wurde ein zugriffsverweigerungsfehler, beim Versuch einen Dienst zu ändern, zurückgegeben. 
Sie können sich als Administrator anmelden, um diese Änderungen durchzuführen.
         
Mache dann neustart und die Änderungen sind übernommen. Ich bin allerdings Administrator oder sollte sich da was geändert haben.

Dann gab es bei GMER eine Fehlermeldung. ich weis nun nicht ob GMER schon fertig war oder dann auch abgebrochen hat.

Fehlermeldung:
Code:
ATTFilter
The application module.
C:\Programme\Avira\Antivir Desktop\ccwkrlib.dll

Cannot be found or has been modified or destroyed. The AVWSC.exe cannot be startet.
Please check your installation.
         
Hab dann die Fehlermeldung weggeklickt und wollte den Logfile speichern, als weitere Fehlermeldungen auspoppten. deren Inhalt war Schreibverlust und irgendwelche nicht gefundenen Treiber.

Hängt das damit zusammen, dass ich Antivir aus dem Startmenü rausgenommen habe? Muss ich den Gmer-Scan nchmal ausführen?

Alt 25.10.2010, 09:57   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\Windows\system32\sshnas21.dll -- Trojaner - Standard

C:\Windows\system32\sshnas21.dll -- Trojaner



AntiVir lässt sich AFAIK so nicht deaktivieren, weil der Dienst besonders geschützt ist. Deaktivierung geht mE nur über das Regenschirmsymbol unten bei der Uhrzeit.

Die Logs sehen soweit ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu C:\Windows\system32\sshnas21.dll -- Trojaner
.dll, alert, beendet, browser, code, cpu-last, desinfec't, firefox, gmer, horse, links, load.exe, malwarebytes, neue, problem, prozesse, rechner, reparieren, runterfahren, spybot, system, system32, tab, tr/crypt.epack.gen, tr/crypt.epack.gen2, trojan, trojan horse, trojane, trojaner, windows, windows xp




Ähnliche Themen: C:\Windows\system32\sshnas21.dll -- Trojaner


  1. C:\windows\system32\sshnas21.dll bei jedem Systemstart
    Plagegeister aller Art und deren Bekämpfung - 29.12.2012 (13)
  2. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  3. Trojaner C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt: FQ10 Fehler in C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt:
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (19)
  4. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  5. TR/Crypt.ZPACK.Gen2 Trojan wurde von Avira gefunden c:\windows\system32\sshnaS21.dll
    Plagegeister aller Art und deren Bekämpfung - 31.03.2011 (1)
  6. sshnas21.dll Trojaner
    Plagegeister aller Art und deren Bekämpfung - 15.11.2010 (12)
  7. Trojaner TR/Renos.J.6 in C:\WINDOWS\system32\sshnas21(2).dll
    Plagegeister aller Art und deren Bekämpfung - 09.09.2010 (28)
  8. Problem beim Staret von C:\Windows\system32\sshnas21.dll Das angegebene Modul wurde nicht gefunden
    Plagegeister aller Art und deren Bekämpfung - 16.08.2010 (11)
  9. (Trojaner) pc startet nicht mehr "C:\WINDOWS\system32\sshnas21.dll"
    Plagegeister aller Art und deren Bekämpfung - 20.07.2010 (0)
  10. ICQ - RunDLL : Problem beim Starten von C:\Windows\system32\sshnas21.dll
    Log-Analyse und Auswertung - 25.06.2010 (12)
  11. Sshnas21.dll - TR/Agent.Huy - Firefox/internetexplorer/Opera tot (C:/Windows/
    Plagegeister aller Art und deren Bekämpfung - 07.05.2010 (1)
  12. Trojaner Virtumonde.scn in sshnas21.dll entfernt - trotzdem System neu aufsetzen?
    Plagegeister aller Art und deren Bekämpfung - 06.04.2010 (9)
  13. habe einen Virus oder Trojaner, sshnas21.dll fehlt
    Plagegeister aller Art und deren Bekämpfung - 23.03.2010 (3)
  14. HiJackThis Log zum auswerten nach Fehlermeldung c:\windows\system32\sshnas21.dll
    Log-Analyse und Auswertung - 10.03.2010 (4)
  15. sshnas21.dll in C:\Windows\System32
    Plagegeister aller Art und deren Bekämpfung - 08.03.2010 (2)
  16. Beim Start erscheint: C:\Windows\system32\sshnas21.dll --> Modul fehlt
    Log-Analyse und Auswertung - 23.02.2010 (2)
  17. "Fehler beim Laden von C:\Windows\system32\sshnas21.dll" bei Systemstart
    Plagegeister aller Art und deren Bekämpfung - 21.01.2010 (0)

Zum Thema C:\Windows\system32\sshnas21.dll -- Trojaner - Hallo zusammen, Benutze Windows XP mit SP3 Mein Problem äußerte sich in 2 Erscheinungen. Erstens wurden in meinem Browser (Firefox) Links umgeleitet. Dies passierte, wenn ich Google-Suchergebnisse mit STRG+Klick auf - C:\Windows\system32\sshnas21.dll -- Trojaner...
Archiv
Du betrachtest: C:\Windows\system32\sshnas21.dll -- Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.