Trojaner, was kann ich tun? Hallo, nun muß ich mich auch mal melden. Habe leider per Suche nicht viel gefunden, oder ich stelle mich zu dusselig an, bitte seid etwas nachsichtig. Ich habe gestern schon antivir drüber laufen lassen, das hat immer die drei Sachen "wjiuuqwx.dll", "nlddfitt.dll" und" ssqRHApq.dll" gefunden, allerdings konnt ich mich dusselig klicken. Dann habe ich "Stinger" drüber laufen lassen, was gar nix gefunden hat, zu guter letzt dann "Super Anti Spyware", dessen link ich hier gefunden habe. Das hat mir dann auch die 3 Sachen angezeigt, ich konnte sie löschen lassen. Nun habe ich folgende Probleme: Bei jedem Neustart kommen drei Fenster "RunDLL: Fehler beim Laden von C:\Users\mein name\AppData\Local\Temp\wjiuuqwx.dll Das angegebene Modul wurde nicht gefunden" und so eben mit allen drei Dateien. Und mein Firefox, Thunderbird schmieren stäääääääändig ab. Ich bin beim schreiben jetzt schon 5 mal unterbrochen worden. :-( *korrigiere 6 mal* Ich nutze Windows Vista Bussiness. Hier das Logfile. Zitat:
|
soooo, ich versuch mir mal selbe rzu helfen... :headbang: Habe Malwarebytes runtergeladen und drüberlaufen lassen, das hat auch ein ganz paar sachen gefunden. hier das log Zitat:
sollte es das gewesen sein? |
hmm, scheint noch nicht geholfen zu haben, Firefox stürzt nach wie vor ständig ab :heulen: |
Hallo Caprise Ich sehe in deinem Log, dass du mehrere AVP am laufen hast. Entscheide dich für eines. Da ist mal eine Datei, die du bei Vrustotal hochladen und auswerten lassen musst. Zitat:
Der Scan kann etwas dauern. Poste dann das gesamte Ergebnis. |
Die datei gibts scheinbar nicht mehr, irgendeins meiner Programme muß das gelöscht haben. Das Malwarebytes vielleicht? |
So, nun hab ich mal neu gestartet und nochmal das HiJack gemacht und raus kommt folgendes: Zitat:
Was allerdings komisch ist, diese dateien gibts in dem Ordner nicht mehr :-/ Was nun? |
Oh man, das macht mich wahnsinnig Ich hab jetzt erstmal bis auf Antivir, Adaware (hatte ich schon lange drauf) und Malwarebytes alles runtergehaun. Adaware findet 12 "infizierte" Sachen. Aber kurz vor Schluß jedesmal eine Fehlermeldung: "Service Error: 6000 has occurred. Description: Ad-Aware service is not running. Please try running the application after a few minutes." So, und von den 12 infizierten Dateien seh ich gar nix, bzw. kann auch nichts machen :-( Heut is nen scheiß tag. Autounfall, Computer Schrott und mein Kind wil nicht schlafen... whaaaaaaaaaaaaaaaaaaaaaa Dabei müßt ich eigentlich bissl arbeiten. :heulen::heulen::heulen::heulen: Weiß jemand rat? Achso, wenn ich jetzt hochfahre kommt nur noch ein Fenster "RunDLL: "RunDLL: Fehler beim Laden von C:\Users\mein name\AppData\Local\Temp\nlddfitt.dll Das angegebene Modul wurde nicht gefunden" Aber die Datei finde ich nirgends, eben auch nicht in dem Ordner.... :balla: Bitte, helft mir! |
So, dann hier nochmal. Das ist mein letztes Log von HiJack. Kann mir jemand sagen, ob das sauber ist? Zitat:
|
Zitat:
|
Ich kann dir nur das jetzt hier zeigen: Zitat:
aber ich wollte ja wissen ob das HiJack-Log sauber ist, was ich zuletzt gepostet hab. LG |
Kann mir jemand helfen? |
Hallo Caprise Kannst du alle Dateien sehen? Suche mal die Zitat:
Mach dann mal noch einen Avirascan mit diesen Einstellungen |
die gibts bei mir auf dem laptop nicht. Habe eben alles durchsucht, per suche etc. aber ohne ergebniss. |
Hallo Die Datei muss es aber geben, da sie ja angezeigt wird und nicht als File missing. O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winvtu32.rom,HKeRun Mach dann erst mal den Scan mit Avira entsprechend den agressiven Einstellungen. |
So, hab den Antivir jetzt mit den Einstellungen laufen lassen. Hier der Report Zitat:
|
http://www.mamiblog.de/wasistdas.jpg So, die Dateihabe ich nach wie vor nicht gefunden, bei HiJackThis zeigt es mir das dazu an. Und im Taskmanager sehe ich das: http://www.mamiblog.de/wasistdas2.jpg Das komische, diese "Winlogon.exe" finde ich ebenfalls auf meinem Laptop nirgends. Oder ich bin zu doof unter Vista nach Dateien zu suchen... Kann mir jemand das erklären? Daaaaanke |
Hallo Caprise Poste dann mal noch ein aktuelles HJT-Log. Beim Suchen nach Dateien mal auf weitere Optionen gehen und dort einstellen, auch versteckte Elemente durchsuchen. Ob das bei Vista auch so ist kann ich nicht sagen, aber ich denke schon. |
Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo dann mach doch noch die Suche, denn die Datei O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winvtu32.rom,HKeRun ist immer noch vorhanden. Suche auch die Winlogon.exe Meinen Nachtrag vom Vorpost beachten zur Suche. |
Ich finde die nicht. ich such ja schon, hab auch alle einstellungen vorgenommen zum thema "siehst du wirklich alle dateien". Aber nix, nothing... |
Nun, da muss ich wohl mal jemand fragen, der sich mit Vista auskennt. Kann etwas dauern. |
das wäre zu lieb! :aplaus: |
Da bin ich.. =) Also zur Vista Konfiguration: http://www.trojaner-board.de/54791-a...ner-board.html Bitte wie beschrieben konfigurieren. Danach: 1) Folge bitte dieser Anleitung: http://www.hijackthis-forum.de/showthread.php?t=14236 2) Blacklight bitte laufen lassen und´das log posten! (evtl. Funde bitte umbennen/beheben lassen) 3) SASW laufen lassen: http://www.trojaner-board.de/51871-a...tispyware.html 4) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. 5) Erstelle bitte ein AVZ log: http://freenet-homepage.de/rene-gad/...Anleitung.html |
Hallo, so, die "Winlogon.exe" hab ich gefunden. Diese habe ich bei Virustotal hochgeladen. Hier das Ergebnis: Code: Antivirus Version letzte aktualisierung Ergebnis Soll ich die Winlogon.exe nun löschen? Danach habe ich Dr.Web Curelt über meinen PC im schnelldurchgang laufen lassen, da fand er nix. Ich mach jetzt die Suche mit den weiteren Einstellungen. Ergebnis kommt denn! |
oh nein, jetzt sind im Thunderbird meine Mails weg, der komplette Posteingang leer. Was denn nun los? Hilfeeeeeeeeeeeee |
Also, ich stell mich wohl echt zu doof an :heulen: Das Combofix öffnet mir keine Textdatei und ich finde auch keine. Ich krieg zum Ende nur Fehlermeldungen. und wenn ich die wegklicke kommt nix mehr. |
So, da ich mich als Frau wohl offensichtlich echt zu dämlich anstelle und wie ich schon schon schrieb nun meine ganzen Mails weg sind, bin ich restlos genervt und hab gedacht, dass es vielleicht die einfachste Lösung ist Windows neu aufzuspielen. Die Frage, was ist nun mit meinen ganzen Bildern, Videos und so Arbeitsdateien. Kann ich das alles auf ne DVD brennen und dann wieder rüberkopieren? oder hab ich den Mist dann wieder drauf? Bitte um schnelle hilfe. Danke |
Hallo Caprise Da wir den Schädling leider nicht gefunden haben, können wir auch nicht sagen, dass du ihn dir nicht mit rüberkopierst. Aber die Sicherung deiner Videos, Bilder und Arbeitsdateien, solltest du von einer Knoppix CD aus machen. Dann ist der Schädling nicht gestartet und kann sich nicht verstecken. Bevor du aber die Dateien zurück spielst dann noch einen Virenscan der DVD machen. |
Eine Knoppix CD???? Hilfeeeeeeeeeeeeeeeeeeeeeee |
Hä? Was ist denn hier los? Also Erstens: die winlogon.exe ist garantiert sauber.. ;) daher bin ich auf die nicht weiter eingegangen.. Caprise, versuche bitte dich ein bischen mit Combofix zu beschäftigen. Das Tutorial usw gut durchlesen.. Hast du beispielsweise mal versucht AntiVir zu deinstallieren und dann den Scan mit CF zu machen? Welche Fehlermeldung erscheint? Das log findet sich, wenn es erstellt wurde unter C:\combofix.txt. Dieses log bräuchte ich. Und die Fehlermeldung. Wenn wir CF nicht zum Laufen bekommen dann steigen wir auf AFZ um... |
so, ich versuchs jetzt mal mit Ruhe und Muße.... hmmmm Nur eine Frage, kann man die Scanner irgendwie schneller kriegenß hab schon alles möglich sinnlose aus gemacht. Aber das dauert ja ewig. der eine läuft jetzt seit über 6 stunden.... :sleepy: |
Zitat:
Zitat:
Welchen Scanner meinst du? Und nein, kann man nicht... :) Sonst würden wir euch das so posten.. |
So, nun hab iche folgendes getan: 1. Dr.Web drüber laufen lassen (gibts da auch nen Log? der Laptop hatte neu gestartet und dann stand da nix) 2. Blacklight drüber laufen lassen -> Keine Funde 3. CCCleaner drüber laufen lassen. 3. Malwarebytes drüber laufen lassen. Hier das Log: Code: Malwarebytes' Anti-Malware 1.24 4. ComboFix drüber laufen lassen. Hier muß ich aber sagen, dass nach dem Neustart Antivir angesprungen ist und ich da immer wieder wegklicken mußte, hoffe, dass das Log dennoch brauchbar ist. Hier das Log: Code: ComboFix 08-08-14.05 - *** 2008-08-16 10:44:00.1 - NTFSx86 LG |
So, habe nun noch den Antivir laufen lassen. Hier der Report: Code: Der Suchlauf über die ausgewählten Dateien wird begonnen: |
So und hier nun auch noch das aktuelle Log von HiJackThis: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! * Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen. Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) Systembereinigung
http://img339.imageshack.us/img339/3...ameterssf7.png
Systemanalyse
|
Also Virustotal hat bei C:\Windows\bwUnin-8.1.1.87-8876480SL.exe folgendes angezeigt: Code: Antivirus Version letzte aktualisierung Ergebnis |
Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: Files to delete:
|
und hier das AVZ Log. |
und das Log vom Avenger Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Die Dateien die in die Quarantäne gewandert sind kannst du wieder herstellen. AVZ öffnen File->Quarantine Folder Viewer Dateien markieren und dann auf wiederherstellen klicken.. |
Okay, hab ich gemacht. Hie rnochmal das aktuelle HiJAckThis Log. Ist das nun okay? Code: Logfile of Trend Micro HijackThis v2.0.2 |
Da ist noch ein Eintrag drinn aus dem ich nicht schlau werde. Kannst du die AVZ Systemanalyse noch ausführen bitte und das log posten. Hatte ich weiter unten gepostet.. |
|
Suche mal bitte nach der Datei: LSSrvc.exe und lade sie bei Virustotal hoch.. PS: Und die hier auch: TeamViewer_Host.exe C:\Windows\system32\drivers\mwsbpc.sys C:\Windows\system32\DRIVERS\ssmdrv.sys C:\Windows\system32\DRIVERS\avipbb.sys C:\Windows\SMINST\launcher.exe C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe C:\Windows\System32\Drivers\PxHelp20.sys Das sieht nicht besonders rosig aus... Da steht eine Verbindung nach Bulgarien und die Dateien sind Besorgniss erregend.. |
komisch, die findet es nicht. :-( |
TeamViewer_Host.exe Code: Datei TeamViewer_Host.exe empfangen 2008.08.18 13:01:17 (CET) Datei ssmdrv.sys Code: Datei ssmdrv.sys(CET) Datei avipbb.sys Code: Datei avipbb.sys empfangen 2008.08.18 12:49:16 (CET) Code: Datei Launcher.exe empfangen 2008.08.18 12:52:33 (CET) C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe Code: Datei InstallerHelper.exe empfangen 2008.08.18 12:56:16 (CET) |
Datei pxhelp20.sys Code: Datei pxhelp20.sys empfangen 2008.08.18 12:58:04 (CET) |
die : LSSrvc.exe und C:\Windows\system32\drivers\mwsbpc.sys finde ich nicht, bzw. die zeigt es mir trotz der einstellungen nicht an. Wäre es vielleicht einfach klug Windows neu draufzuspielen? |
Das wird langsam echt zu heikel hier noch weiter zu machen.. Ich kann für die Systemsicherheit nicht garantieren und wahrscheinlich geht's echt schneller Windows neu drauf zu spielen.. Du könntest nochmal folgenden Skript ausführen: Start->ausführen: cmd /c dir "c:\*.*" /L /A /B /S|Find " winvtu32.rom " >> "%userprofile%\desktop\findfile.txt" Poste den Inhalt der damit erstellten findfile.txt die sich auf deinem Desktop befindet. Und magst du uns noch einen Geafllen tun? Die Dateien sind garantiert nicht sauber und da VT nichts findet tippe ich auf einen ganz neuen Schädling. Den würde ich zur Analyse an ein Virenlabor schicken.. http://www.trojaner-board.de/54791-a...ner-board.html Wenn du das für folgende Dateien machen könntest wäre das super! C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe C:\Windows\SMINST\launcher.exe |
kann ich gerne machen, kanst du mir auch noch einen gefallen tun??? Kann ich Videos und Bilder soweit brennen oder ist das zu riskant? DIe brauch ich unbedingt. Und muß ich bei ner Vista-Neuinstallation irgendwas beachten? hab das noch nie gemacht... Und kann über den Router auf einen anderen Laptop was gegangen sein? sorry, falls ich doofe fragen stelle, wie gesgat, kenne mich nicht so aus. |
Zitat:
Zitat:
Ist mir jedenfalls noch nicht häufig untergekommen sowas hartnäckiges.. Hier mal ein Leitfaden für dein weiteres Vorgehen: Bereinigung nach einer Kompromitierung Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!! |
bei mbr kam das raus: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: error reading MBR kernel: error reading MBR Ist das okay? |
Zitat:
Man man.. Versuche das ganze bitte nochmal aus dem abgesicherten Modus heraus. Sollte es dort auch nicht klappen: GMER - Rootkit Detection
PS: Kannst du das Skript noch ausführen: Zitat:
|
so, im abgesicherten modus kam bei gmer: Code: GMER 1.0.14.14536 - http://www.gmer.net |
mit dem skript mußt du mir helfen. soll ich das jetzt alles komplett in die EIngabeaufforderung reinkopieren??? Da kommt "Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichung ist falsch." |
In das "Öffnen" Feld welches du über Start -> ausführen erreichst kopierst du folgendes rein: Zitat:
Zitat:
Versuche bitte die mbr.exe im abgesicherten Modus auszuführen. Sollte dann wieder sowas Zitat:
|
also, wenn ich das da in das Feld reinkpiere, geht erst ein schwarzes Fenster auf, steht nix drin. Das bleibt s 30 sek. offen und geht dann ohne kommentar zu. |
so und bei MBR kam jetzt im abgesicherten Modus das: Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net jetzt ok? |
was ich mich jetzt frage. ALs ich den Laptop gekauft habe gabs keine Vista CD dazu. Das System war schon drauf. Ich mußte damals eine/zwei Wiederherstellungs CD's machen, gleich zu beginn. Das hab ich getan. Nehme ich diese jetzt um Windows neu zu installieren??? :headbang: |
Zitat:
|
Sooooo, nun hab ich Windows neu aufgespielt, Antivir intalliert und PW im Router geändert.. Jetzt müßte doch alles ok sein oder? Oder muß ich noch was beachten? |
Ja, zwei Sachen. 1.) Windows sollte IMMER aktuell gehalten werden, insb. Sicherheitsupdates. 2.) Der Routerschlüssel sollte WPA2 sein. ;) |
beides ja. So und nun vielen vielen Dank für eure Hilfe. Ich werde euch allerdings nochmal mit den Logs vom Laptop meines Mannes auf den Keks gehen. Sicher ist sicher, so schauen wir nochmal, dass sein Laptop auch sauber ist. Bin gespannt, ob ihr irgendwas rausbekommt was es war. Bekomm ich dann eine Info? |
Zitat:
|
hab ich doch gestern gemacht. |
hm, nun hab ich allerdings immernch/wieder ein problem. Ich habe windows neu aufgespielt. Aber irgendwie will das W-Lan nicht so wie ich will. :heulen: Wenn ich nach nem Neustart das LAN Kabel anstecke hab ich keine Probleme mit dem Netz, ohne Kabel gehts, mal nur kurz und dann gar nicht mehr, sämtliche "wieder verbinden", "trennen", "reparieren" Versuche bringen nichts, nur ein Neustart und dann eben Kabel. Ist hier nur was bei der Installation von Windows falsch gelaufen oder nistet da noch was drin? LG |
Zitat:
Frag sonst mal im Netzwerk-Teil unseres Forums nach... Zitat:
|
is nich wahr... :-( Ich hab doch die zwei sachen hochgeladen ... :heulen: So wie es beschrieben war... |
Nicht so schlimm. Da kann viel schief gehen. Muss nichtmal an dir liegen. ;) Bischen blöd natürlich weil wir so nicht mehr erfahren was eigentlich los war aber: shit happens! |
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:47 Uhr. |
Copyright ©2000-2024, Trojaner-Board