|
mein pc ist ne verseuchte spamfabrik :( hallo gleichgesinnte und experten. seit einigen tagen plagt mich ein problem, das weder ich noch meine software lösen kann. habe google geqählt, weiß aber nichtmal genau wonach ich suchen muss :( mein desktop-pc verschickt durchgehend emails (beispiel) bis svchost.exe sich mit 'ner fehlermeldung (der vorgang "written" konnte nicht auf dem speicher ....) verabschiedet. kaspersky (aktuelle virendefinitionen) hilft leider nicht. aus dem hjt-log werd ich nicht schlau, drum hoffe ich darauf, dass jemand, der kundig ist oder gar das gleiche problem bereits gelöst hat, mir bei der lösung helfen kann. was kann ich tun? ich möchte nur ungern mein system neu aufsetzen.. os: win xp sp2 (aktueller updatestatus) sicherheit: kaspersky is 7.0 (aktueller updatestatus) sollten weitere infos benötigt werden, bitte bescheid geben.. gruß, nordi |
Hallo Nordi. Trenne den Rechner umgehen physikalisch vom Netz (= Netzwerkstecker ziehen!) Dann deinstalliere bitte C:\Programme\PCphone Fax-Office\FxOffice.exe . Danach führe bitte weitere scans durch: -Deaktiviere die Systemwiederherstellung auf allen Laufwerken. -Deinstalliere Java über die Systemsteuerung. -Lasse Silentrunners laufen und poste die logFiles.. -Folge dieser Anleitung. -Run Combofix. Poste den erscheinenden Text. -Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren). -Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen). -Poste ein frisches Hijackthis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report). -Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log. |
erstmal danke ich dir sehr für diese ausführlich hilfestellung.. :) bis die scans (2x3) durch sind, wirds wohl noch ein weilchen dauern. hier sind schon mal vorab die bisher erstellten logs: - silentrunners - SmitfraudFix_1 - SmitfraudFix_2 (nach dem scan) - combofix ich hoffe sie geben ein wenig aufschluss... (übergeordnetes verzeichnis mit allen logs) combofix meldete, dass der befehl "löschen" nicht gefunden wurde oder falsch geschrieben sei. ausserdem startete "laufwerk bereinigen" selbstständig. ansonsten zeigte es keine auffälligkeiten.. sobald es fortschritte gibt, melde ich mich erneut mit weiteren informationen.. gruß, nordi |
Nabend nordi. Suche bitte wie in meiner Signatur beschrieben folgende Datei und lade sie auf VT hoch. " C:\WINDOWS\zts2.exe " Sollten da keine brauchbaren Namen auftauchen sacnne bitte auch folgende Dateien: " C:\WINDOWS\system32\vcmgcd32.dll " " C:\WINDOWS\system32\iifgfgf.dll " " C:\WINDOWS\REGBK00.ZIP " PS: Öffne mal bitte folgende Datei im Editor! : " C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt " was steht da drin? |
Zitat:
|
hallo undoreal, um spybot zu installieren musste ich online gehen und hab festgestellt, dass das problem anscheinend gelöst ist - ich weiß net was da passiert ist, aber bei einem der schritte deines "walkthrough" muss es passiert sein. es findet kein scheinbar willkürlicher und unerwünschter email-traffic mehr statt :Boogie: werds aber weiter beobachten... zts2.exe zeigte sich (obwohl geschützte und versteckte dateien sichtbar) nur in der kommandozeile und dann hab ichs wohl irgendwie versehentlich gelöscht (copy c:\windows\zts2.exe c:\zts2.exe.tmp)?? :( jedenfalls ist sie nicht mehr da... (kenne mich leider nur mit linux-befehlen aus) " C:\WINDOWS\system32\vcmgcd32.dll ", " C:\WINDOWS\system32\iifgfgf.dll " und " C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt " sind nicht mehr vorhanden... " C:\WINDOWS\REGBK00.ZIP " habe ich gescant und entpackt. enthalten waren folgende registry-files: hkcrRT.reg (~25MB) hklmSW.reg (~52MB) hklmSY.reg (~16MB) kaspersky hat nix beanstandet.. habe eben s&d scannen lassen, und es wurden keine besonderheiten gemeldet (log). aktuelles hjt-log iclean-log das problem ist zwar gelöst, wüsste aber trotzdem gern, welcher übeltäter mich da geplagt hat. zumal ich zumindest geistig gern für zukünftige attacken dieser art gewappnet wäre. oder wird es ein rätsel bleiben? falls weitere infos gewünscht sind, werde ich versuchen sie zu liefern.. auf jeden fall danke ich dir schonmal sehr für deine kompetente hilfe, hast mir ne menge arbeit (system neu aufsetzen) erspart :):party: gruß, nordi ps: für alle die jetzt oder irgendwann mitlesen: die logs werde ich in einigen tagen löschen, damit nicht meine semi-persönlichen daten auf dauer öffentlich sind... |
oh mann, als hätte ichs geahnt :( zu früh gefreut... soeben schrie kasperskys proaktiver schutz auf und kündigte mir ein registryzugriff an.. danach hat svchost sich wieder verabschiedet. emails wurden/werden nicht verschickt.. hier die detailinformationen: Code: Ein Versuch zum Erstellen eines Werts in einen Systemregistrierungsschlüssel, der zur Gruppe System Startup gehört, wurde abgefangen. Diese Schlüssel kontrollieren den Bestand der Module, die beim Hochfahren von Microsoft Windows geladen werden.achja, zuvor erschien kurz ne rote kaspersky-meldung, in der irgend ne url mit paris hilton oder so angezeigt wurde, obwohl ich keine andere webseite offen hab und auch nie nach paris hilton gegoogelt hab.. edit: habs gefunden im web antivirus-log: Code: gefunden: trojanisches Programm Trojan-Downloader.JS.Psyme.hz URL: http://www.paris-hilton-nude.net/nordi |
Hey nordi. Lass dich mal nicht so durcheinander bringen. Sonst müssen wir immer wieder von vorne anfangen. Die Änderung an der Registry dürfte Kaspersky verhindert haben also musst du nichts reparieren. Lösche bitte die " C:\WINDOWS\REGBK00.ZIP " und alle entpackten Dateien. Die währen mir nicht geheuer.. Dann suche bitte nocheinmal nach der " zts2.exe ". Evtl. Ist die wiederhergestellt worden. Dann bitte weiter im Text: Zitat:
|
Hi, Aus dem Combofix Log: Code: 2007-10-28 16:07 <DIR> d-a------ C:\WINDOWS\zts2.exeGruß, Karl |
thx Karl. @ nordi: Zitat:
|
hallo undoreal. escan wird wohl noch ein weilchen brauchen und heute wahrscheinlich nicht mehr fertig :( vorab schonmal die bisherigen funde: Code: File C:\Dokumente und Einstellungen\Nordi\Desktop\rmv troyan\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.Zitat:
was hat es denn mit "%systemroot%\system32\dumprep" auf sich? "svchost" hat versucht das ding in die registry in /run zu schreiben. soll ich dumprep löschen? gruß, nordi |
Zitat:
Es könnte im extremen Ausnahmefall auch ein Schädling sein d.h. verbiete die Aktion weiterhin. Einen Nachteil bekommst du dadurch nicht. Zitat:
|
|
Also ich weiss nicht... Welche Probleme treten bei dir noch auf? |
das gleich wie vorher, es werden wilkürlich emails versendet :( ich spiele mit dem gedanken c: zu formatieren - dann wäre das problem bestimmt gelöst.. wahrscheinlich ist das auch einfacher, als diesen plagegeist ausfindig zu machen.. - oder würde es reichen, xp einfach drüberzubügeln? (so einfach ists bestimmt nicht) gruß, nordi |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:05 Uhr. |
Copyright ©2000-2024, Trojaner-Board