Tojaner Podmena
 

Hallo zusammen,

bin neu hier und habe auch gleich mal ein Problem.
Hab mir einen Trojaner Namens Podmena eingefangen und bekomme nur noch Fehlermeldungen und werde im Internet auf komische Seiten weitergeleitet die dann entweder weiß sind oder irgentwelche Werbung beinhaltet.
Zudem kann ich jetzt nichts mehr installieren, was das Problem erschwert den Trojaner zu bekämpfen.
Egal ob ich etwas herunterlade und per CD/DVD installieren will, es geht nicht.
Kommt immer berechtigungsfehler.

Leider kann ich keine Funde von Sicherheitssoftwaren beisteuern, da mein Avira Antivir hierzu nichts sagt bzw nichts findet.

Habe folgende Seite im Netz gefunden:

Podmena /// Sicher PC

Mit der Anleitung:

Entfernungs Anleitung:
Enferne Dlls:
podmena.dll
Enferne Register:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost
podmena = "podmena"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicespodmenaParameters]
ServiceDll = "%ProgramFiles%podmenapodmena.dll"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicespodmenadrv]
ImagePath = "??\%ProgramFiles%podmenapodmena.sys"
Enferne Dateien:
podmena.dll
podmena.sys
podmena.bat


Leider finde ich weder die Files noch die Registrydaten.
Ist einfach total verhext.

Kann mir jemand sagen was ich nun tun soll?

Lasse auch schon zum 3. mal den HouseCall von Trend Micro über meinen PC laufen, aber immer beim Löschen der Daten klappt irgentwas nicht.

Bin total verzweifelt.

Bitte um Hilfe.

Vielen vielen Dank.

Eurer Otze (Chris)

Hallo und :hallo:

Nach deinen Schilderungen vermute ich eher TDSS und nicht Podmena. Welches Programm hat dir denn Podmena gemeldet? Wie heißt die Datei und der genaue Pfad des Fundes?

ciao, andreas

Hallo Anderas,

vielen Dank für die schnelle Antwort.

Beim klicken im Netz werde ich auf folgende Seiten verlinkt.
http://thefeedyard.com/?do=search&q=Start
http://globexonline.com/?do=search&q=Start

Oder auf eine Seite die mit Podmena anfängt.
Leider wird grad die Podmenaseite nicht mehr aufgerufen nur noch die oben. ;-(
Deshalb bin ich auf darauf gekommen dass es Podmena sein kann.

Hier noch eine fehlermeldung:

Internetexplorer funktionier nicht mehr.
Danach kommt folgende Meldung:
Angehen eines Problems bei Windows
Windows wird nicht mehr ordnungsgemäß ausgeführt.

Auf Ihrem Computer fehlen möglicherweise Updates, mit denen Stabilität und Sicherheit Ihres Computers verbessert werden können.

Go online to check for and install Important updates.

Klicken Sie, um zu Windows Update zu gehen:


Windows Update
Klicken Sie im linken Bereich auf Suchen nach Updates. Falls Updates gefunden wurden, klicken Sie auf Verfügbare Updates anzeigen.



Wählen Sie alle wichtigen Updates aus, und klicken Sie dann auf Installieren. Wenn Sie dazu aufgefordert werden, ein Administratorkennwort oder eine Bestätigung einzugeben, geben Sie Ihr Kennwort bzw. die Bestätigung ein.

Hinweis
Wenn Sie automatische Updates eingeschaltet haben, werden möglicherweise keine wichtigen Updates aufgelistet. Wenn dies der Fall ist, wurden die Updates bereits auf Ihren Computer heruntergeladen.

Weitere Informationen


To learn more about updating your computer, read

Keep your operating system updated: Frequently asked questionsonline at the Microsoft website.



--------------------------------------------------------------------------------
Antwort bewerten:Feedback

Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

Hallo Andreas,

ich habe dass schon gelesen und wenn ich die Programme installieren bzw ausführen könnte wie oben schon geschrieben hätte ich das auch gemacht.
Leider geht es nicht.

Es kommt folgende Fehlermeldung wenn ich eine Exe oder ähnliches ausführen will.
Siehe Anhang.

Was soll ich nun machen?
Kann ja leider Punkt 2 nicht ausführen.

Bin schon total mit mir selber am Zweifeln solche Probleme hatte ich noch nie,
bis etz hab ich immer alles runter bekommen. :heulen:

Danke

Starte das Programm nicht mit Doppelklick sondern Mausklick rechts => Ausführen als Administrator.

ciao, andreas

Hallo Andreas,

geht leider auch nicht.
Dachte mir auch am Anfang das es mal wieder so ne Vista Eigenart ist.
Aber ich kann definitive nichts ausführen und installieren.

Habe herausgefunden dass bei Links sich immer etwas vorschaltet wie:

http://thefeedyard.com/?do=rphp&sub=204&b=895859167&q=Tojaner%20Podmena&orig=http%3A//www.trojaner-board.de/77211-tojaner-podmena.html%3Fhighlight%3Dpodmena

Oder hier:

http://globexonline.com/?do=rphp&sub=350&b=895859167&q=G%E4stebuch&orig=http%3A//chirs.bei-uns.de/gaestebuch/

Ich weiß echt nicht mehr was ich machen soll.

Gibt es denn keine Hilfe?
Habe gehört es gibt so ne CD/DVD die heim hochfahren automatisch startet und Viren etc scant/löscht?

Vielen Vielen Dank für deine/Eure Mühe.

Chris

Du meinst bestimmt ein live Linux wie Knoppix mit Clam AV. jetzt kommt es halt nur drauf an ob du dir ein Knoppix auch runterladen und brennen kannst.

Gruß

Acid

Ja, mehrere, dazu brauchst du aber einen sauberen Rechner, damit du die überhaupt laden und brennen kannst.

Support Downloads

Dort gibt es sowohl eine .exe als auch eine .iso. Musst du dann allerdings auch als ISO (Image) brennen.

Mittlerweile vermute ich aber etwas anderes und da wird dir die CD auch nicht helfen.

ciao, andreas

Hallo Andreas

Deine Vermutung würde mich jetzt interessieren.

Gruß

Acid

Hallo Andreas,

ja mich interessiert es auch.

Was soll ich nun machen?
Ich hab im Haushalt noch nen anderen sauberen Rechner.

Kann mir jemand sagen wie des wieder alles in Ordnung bringen kann?
Bin schon total verzweifelt, das Problem regt mich jeden Tag so auf, dass ich schon gar nemmer gescheit schlafen kann.

Gruß chris

Ich brauche mehr Informationen. Lässt sich überhaupt kein Programm mehr starten? Lassen sich nur die neu heruntergeladenen Programme nicht starten bzw. installieren?

Wenn du noch einen sauberen Rechner hast, dann brenne dir die CD und scanne. Notiere bitte die Funde, mit Namen, Pfad und Dateinamen. Das ist wichtig, damit ich weiß, wie weiter vorgegangen werden muss. Funktionieren Downloads bei dem verseuchten Rechner noch oder nur ganz bestimmte nicht?

ciao, andreas

Ok, ich lad die cd mal runter und lass es laufen.

Also ich kann vom Laufwerk nichts starten was eine installation betrifft.
Filme oder Music geht, also ist das Laufwerk auch nicht defekt.

Ich kann normale programme öffnen, aber alles was mit Virenprogrammen oder so zu tun hat geht nicht mehr.
Ausnahme: Avira antivir und Security Task Manager(TestVersion)
Fehlermeldung habe ich schon mal angehängt.

Verlinkungen kommen wie oben beschrieben die weiterleitungen.
Was mir hier auffällt ist dass diese weiterleitung hauptsächlich bei foren und Normalen seiten vorkommt und bei Spielen oder anderen ähnlichen servern nicht.

Internetexplorer schmiert ab wie beschrieben.
Habe folgenden Tipp bei von meinem ITler in der Arbeit probiert.
msiexec /unregister
msiexec /regserver
Hat leider auch nichts genützt.


Zu dem kam heute beim hochfahren, an windows wurde ein nicht autorisierte Änderung vorgenommen und dadurch hat sich der Rechner wieder runtergefahren und wieder hoch.
Hat er 2 mal gemacht dann hat er sich komplet hochgefahren.

Antivir hat heute folgenden Fund gebracht.
TR/Spy.Gen


Weiteres fällt mir jetzt dazu nicht ein.
Versuche bis Sonntag von der CD zu scannen.

Startet es automatisch oder muss ich hier in den Abgesicherten Modus?

Vielen Dank nochmal.

Gruß chris

Du musst von dieser CD booten. Also im BIOS dein CD/DVD Rom als firts boot einstellen.

Gruß

Acid

Wo?
Das ist kein Indiz und eher normal. Benutze eine Alternative wie Firefox oder Opera.
Das mag bei MSIE-Problemen helfen, du hast ein massives Schädlingsproblem.
Du musst mit der CD booten.

ciao, andreas

Hier
http://www.trojaner-board.de/attachm...nt-1-kopie.jpg

Ich benutze zum surven Firefox, nur kommt immer die meldung Interexplorer kann nicht mehr verwendet werden und dann kommt diese meldung.


Vielen Dank, werde dann von der CD booten sobald ich wieder an meinem Rechner bin.

Gruß chris

OK. Missverständnis geklärt. Die Fehlermeldung muss nichts bedeuten. Er beklagt sich über fehlende Updates oder Systemdateien. Das ist aber mehr eine Folge der Schädlinge und hat mit Windows erstmal nichts zu tun. Windows glaubt das aber. Das MSIE-Problem werden wir auch erst zum Schluss beheben. Zuerst müssen die Schädlinge weg.

Ich vermute noch immer etwas anderes, aber ohne ein einziges Log gesehen zu haben ist das noch nicht spruchreif.

ciao, andreas

Ok, ich melde mich sobald ich den scan absolviert hab.

Bin gespannt was dabei rausgekommen wird.

danke.

gruß chris

Ich auch. ;)

ciao, andreas

So habe jetzt die rescue_system-common-en.iso von Avira laufen lassen.

Hat aber auch leider nichts gefunden.

Hier was er ausgespuckt hat bei alle Dateien durchsuchen
Bei Intelligente Durchsuche kam das selbe raus mit:

Ich krieg ne Krise.
Ich lauf gleich durch die Wand.:headbang:

Was nun?
Eine andere ISO probieren?

Gruß chris

Moin.... Heute hat mein Rechner beim Hochfahren chkdsk ausgeführt und auch einige Sachen bereinigt ! Dann kam ne Meldung von Windows das ne Menge an Trojanern und Vieren entfernt wurden ! Darunter auch unser schöner Podmena.vidachi und noch ne ganze Menge von diesem Mist ! Seitdem läuft der Pc wieder wie ne 1 ! Ich kann wieder mit Nero brennen und selbst meine Systemwiederherstellung funtzt wieder !!! Was das jetzt genau für ein Programm war , was den Schrott vom PC geschmissen hat, kann ich nicht mehr sagen !!! Last doch einfach mal chkdsk laufen !!!!

Start ---- Ausführen ----- chkdsk eingeben ---- enter !!!!

Genau, chkdsk, die Wunderwaffe gegen alle Schädlinge. :)
Nein, der erste Scan, da wurde gar nichts gesucht, beim zweiten scheint er mir auch nur die CD gescannt zu haben.

1.) Lade den Anhang auf deinen Desktop und speichere ihn mit dem Namen exefixit.reg

2.) Doppelklick auf exefixit.reg => Klick auf Ja.

3.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

4.) Poste die Logs von RSIT.

ciao, andreas

Ob's jetzt nun chkdsk die Probleme gelöst hat , kann ich nicht genau sagen !
Fakt ist , ich hab's laufen lassen und danach lief mein System wieder einwandfrei !

hallo leute habe das selbe problem und klinke mich hier mal mit ein
ich hab mal das logfile erstellt wie du es gesagt hast andreas und das kam dabei raus

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "nhkfox" found!
DisplayName: nhkfox
ImagePath: \??\C:\WINDOWS\system32\drivers\shejqacl.sys
Start Type: 2 (Automatic)

Rootkit scan completed.


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\podmenadrv" not found!
Deletion of driver "podmenadrv" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\podmena" not found!
Deletion of driver "podmena" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


und was nu? danke schonmal

sorry für den doppelpost aber ich finde keinen editier button?!

ich wollte noch sagen wenn ich versuche den antivir laufen zu lassen startet sich der pc sofort neu keine chance reicht das logfile vom beitrag zuvor?

Hallo bong91 und :hallo:

Dieses Thema gehört Otze. Bitte eröffne dein eigenes Thema, wie jeder hier. Klicke da drauf => http://www.trojaner-board.de/newthre...=newthread&f=8

ciao, andreas

Hallo Andreas,

anbei das Logfile:

RSIT-EXE konnte ich nicht ausführen kommt Fehlermeldung.
Siehe anhang.

Solltest du etwa Virut haben?

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Hallo Andreas,

wie immer besteht das Problem dass ich Exen nicht öffnen kann.

CCleaner läst sich einfach nicht starten, auch nicht als Admin mit rechtsklick
Siehe Anhang:

Wie kann ich diese Fehlermeldung umgehn?
Kann ich den start irgentwie erzwingen?

Danke.

LG chris

1.) http://www.trojaner-board.de/72647-b...ktivieren.html

2.) Vergiss CCleaner.

3.) Start => Ausführen => combofix /killall [Strg][Shift][Enter]

ciao, andreas

hi andi,

combfix geht komischerweiße nicht.
Siehe anhang.

soll ich das drücken? [Strg][Shift][Enter]

Sorry bin schon total verwirrt.

gruß chris

nomaler weise so wie ich das weiß musste nicht combofix /killall sonder cofi /killall weil du die exe ja umgeschrieben hast wenn ich da falsch liege dann sorry aber ich mein wenn man was umbennent ruft man die datei ja nicht (x beliebiges beispiel ) sagen wa terminator.exe sondern nach umbennennung ( umbennant in termi.exe ) termi.exe auf so weiß ich das halt

wie gesagt wenn ich da falsch liege dann tuht es mit leid :)


Gruß

sven

Hi,

danke für den Tipp, leider hat es auch nicht funktioniert.
Komm mir langsam so vor wie die typen bei der Computerbildwerbung,
fehlt nur noch dass mein Rechner anfängt zum lachen :singsing:

mein vater war mit vista auch schonmal in der situation der musste vista neu machen


mal ne Frage hast du den chkdsk gemacht ?

wenn nicht versuchs mal

Start => ausführen => chkdsk und dann enter Drücken wenn dieses nicht funktionieren soll mache es über die reperier und wiederherstel konsole ( allso wenn es so ist wie bei WindowsXP )

und dann das Administrationskennwort ist meinstens garnichts allso einfach enter drücken oder 00000 soviel ich weiß

und dann musste eingeben chkdsk /p und dann macht der ne reperatur :)

allso wenn vista so aufgebaut ist wie XP weil sonst klappt diese anleitung leider nicht :)

Versuch es einfach mal :)



mfg

sven

Du hast noch immer nicht ein einziges (dringend erforderliches) Log gepostet. Was soll ich mit dir machen?

Ich habe aufgrund deiner Informationen schon versucht "ins Blaue" zu löschen, aber selbst das ist gescheitert. Halte dich bitte genau an die Anleitungen. Bei anderen hat das funktioniert. ;)

ciao, andreas

hi andreas,

ich würde ja genau dass machen, leider kann ich das meiste nicht ausführen,
daran hackt es ja.
Kann keine exe ausführen, egal was ich mache.
Poste ja alle Fehlermeldungen aber wenn er bei doppelklick nix macht, kann ich nichts posten.

Glaub mir bleibt bald nix mehr übrig als kompelt alles neu zu installieren.:heulen:

lg chris

Das, was ich vermutet habe, war es nicht, falls du Folgendes ausgeführt hast => http://www.trojaner-board.de/464339-post22.html

Ist ComboFix nicht gelaufen? Kam eine Fehlermeldung? Wenn ja, welche?
Das ist bei deinen Beschreibungen sicher nicht falsch. :)

ciao, andreas

Wenn ich combofix normal öffnen will kommt folgende Meldung.
Bei RSIT kommt die selbe Fehlermeldung

Wenn ich über ausführen starten will kommt:
[QUOTE]"cofi" konnte nicht gedunden werden. Stellen sie sicher, dass Sie den Namen richtig eingegeben haben und wiederholen Sie den Vorgang[/QUOTE

heut kamm folgende Fehlermeldung nach ausführen von Avenger.

Avengerlog:

Da tauchen ständig neue Dinge auf. Neues Skript für den Avenger:

1.) http://www.trojaner-board.de/74908-a...t-scanner.html

2.) Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Setze ein Häckchen bei Scan All Users.
• Unter Standard Registry wähle bitte All
• Unter Extra Registry, wähle bitte Use SafeList
• Schliesse bitte alle laufenden Programme.
• Klicke nun auf Run Scan ( links oben ).
• Wenn der Scan beendet wurde werden 2 Logfiles auf dem Desktop erstellt
• Poste den Inhalt von OTL.txt und Extra.txt hier in den Thread.

ciao, andreas

Hi andi,

hier log von Avenger:

Habe beide Daten runtergeladen.
kann aber keines ausführen, kommt wieder keine zulässige Win32-Anwendung.

Mich regt des sowas von auf, ich kann nix starten außer avenger.
Muss langsam anfangen meine BA zu schreiben.

Was soll ich nur machen?

gruß chris

Ziemlich frustrierend.
Wir sind mittlerweile bei 40 Posts und du hast noch immer kein Log gepostet. :(

1.) Packe den Ordner c:\avenger mit Zip oder Rar, lade ihn bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als Private Nachricht.

2.) Erstelle ein Filelisting.

• Lade die Datei listing1.bat auf deinen Desktop
• Doppelklicke auf listing1.bat
• Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de) hochladen und hier den Link posten.

ciao, andreas

Hallo Andi,

mail hab ich dir geschickt.

hier die Listing.txt.

RapidShare: 1-CLICK Web hosting - Easy Filehosting

hoff es bringt dir/uns was.

danke.

gruß chris

Ein normales Filelisting hat 300 KB, ein vollgepackter Rechner hat 400 KB, dein Listing hat mehr als 800 KB. :eek:

Die Ursache für deine Probleme ist aber schnell ausgemacht.
Einfach in Zukunft keine geklaute Software mehr benutzen, dann gibt es auch keine Probleme mit Schädlingen. Das, was du mir zugeschickt hast, ist eine neue Rustockvariante. VT sagt 10/41. Schicker Backdoor. :teufel1:

Hier geht es weiter => http://www.trojaner-board.de/51262-a...sicherung.html

Du bist entlassen und ich bin raus,
Andreas