Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   hohe load durch prozess "system" und "explorer.exe" verbindet alleine nach russland (https://www.trojaner-board.de/93206-hohe-load-prozess-system-explorer-exe-verbindet-alleine-russland.html)

andyb63 25.11.2010 13:24
hohe load durch prozess "system" und "explorer.exe" verbindet alleine nach russland
 
OS: Win XP SP3

hallo, hier mein bericht:

ich hatte auffälliges verhalten im taskmanager festgestellt:
# pc hat hohe load durch prozess "System" und wird total langsam.

um zu schauen, ob mein rechner irgendwas selbstständig tut, habe ich mit dem programm TCPview nachgeschaut, welche programm/prozesse mit dem netz kommunizieren. als ergebnis habe ich sehr viele anfragen des prozesses "system" gesehen und dazu auch noch, das "exlorer.exe" (wobei ich nicht weiss ob file-explorer oder internet-explorer) sich mit einer IP verbindet, die erstens in russland sitzt und auch noch im bestimmten foren als spammer oder ähnliches genannt wurde. (leider IP nicht gemerkt, deswegen keine quelle, sorry).

dies hat also gereicht, um davon auszugehen, das ich mir was eingefangen hatte.

bericht nach anleitung.html:

schritt 0: LOAD.exe

load.exe hat mir zwar das verzeichnis MFtools (anleitung.html und scan.txt) erstellt, aber ich konnte am ende nicht feststellen, ob TFC.exe tatsächlich ausgeführt wurde oder nicht.
auch weiss ich nicht, was da überhaupt runtergeladen wurde und wohin.

schritt 1: TFC.exe

ich weiss nicht, ob TFC.exe gelaufen ist.
auch weiss "man" (also ich) nicht, was das tut.

schritt 2: erunt (registry sichern)

die erunt-setup.exe liegt mir nicht vor.
weiss nicht wo downloaden -> nicht gemacht

die erunt.exe liegt mir nicht vor.
weiss nicht wo downloaden -> nicht gemacht

schritt 3: Malwarebytes (schlechte software finden und unschädlich machen)

Malwarebytes upgedatet gestartet. nach ca. 10 stunden wegen zuwenig ram abgestürtzt oder hängen geblieben. (habe ca. 400 000 dateien)

nach neuem booten rechner offline gemacht, alle antivir (avast) und sonstige (McAfee) ausgeschaltet und auch manuell teatimer und andere process, die nach McAfee aussahen gestoppt.
der dann folgende scan brauchte ca. 3 stunden und fand 6 dinge, die in quarantäne gesetzt wurden.

log liegt vor.

maschine gebootet.


schritt 4: defogger (was das macht ist unklar)

defogger laufen lassen. es wurden keine fehlermeldungen rausgegeben.
aber _nicht_ erstellt wurde die datei "defogger_disable" auf dem desktop.
ob die woanders ist, weiss ich leider nicht.

schritt 5: Gmer.exe (was das macht ist unklar)

habe Gmer.exe runtergeladen. ihr wurde der name xjks6cy5.exe gegeben. habe die ausgeführt.
scan läuft auch einige stunden, machmal weiss man nicht ob es hängt.

scan war dann fertig und ich wollte das logfile abspeichern.
beim eingeben des dateinamens pasierte folgendes: der buchstabe "e" wurde automatisch wiederholt beim eingeben:
gmeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee...
mit ESC wollte ich die eingabebox schliessen, da war dann aber auch das programm weg.

nach nochmaligen booten und wiederstarten der xjks6cy5.exe hängt sich der rechner immer auf beim scannen.
deswegen gibt es hier kein log, obwohl es einmal komplett durchgelaufen war.

schritt 6: OTL.exe version 3.2.17.3

downgeloaded und gestartet.
hinweise für "Anleitung.html":
1. das klicken in die Scans/Fixes-box fragt _nicht_ nach einer datei, deswegen muss man MFtools/Scan.txt manuell reinpasten.
2. wg. "alle programm schliessen!" soll man auch hier alle anderen viren-programm etc. schliessen? denn nach jedem reboot (und das macht man ja öfter sind die ja wieder an!)
3. auch diese scan dauert ca. 2 h bei mir. bei der statusmeldung "Manual File Scan: Getting folder structure ..." dachte ich, dass das programm hängt, das es keine lebendigkeitsanzeige gibt. nur im taskmanager konnte ich sehen, dass OTL zumindest immer wieder mehr speicher bekam.

ENDE

OK, der rechner scheint zumindest wieder einsatzfähig zu sein.

-> ob ich jetzt noch irgendwas machen muss, möchte ich hiermit erfragen.

ich möchte euch meinen besonderen dank für eure arbeit hier aussprechen, denn was würde man denn ohne euch eigentlich machen?

danke und gruss
andy

anmerkung: mein file-explorer zeigt nun nach allen arbeiten keine file-extensions mehr an, z.b. auf dem desktop steht nun "OTL" statt "OTL.txt"

cosinus 26.11.2010 21:02
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50370
FF - prefs.js..network.proxy.backup.ftp: "83.170.105.119"
FF - prefs.js..network.proxy.backup.ftp_port: 3128
FF - prefs.js..network.proxy.backup.gopher: "83.170.105.119"
FF - prefs.js..network.proxy.backup.gopher_port: 3128
FF - prefs.js..network.proxy.backup.socks: "83.170.105.119"
FF - prefs.js..network.proxy.backup.socks_port: 3128
FF - prefs.js..network.proxy.backup.ssl: "83.170.105.119"
FF - prefs.js..network.proxy.backup.ssl_port: 3128
FF - prefs.js..network.proxy.ftp: "83.170.105.119"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.gopher: "83.170.105.119"
FF - prefs.js..network.proxy.gopher_port: 3128
FF - prefs.js..network.proxy.http: "83.170.105.119"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "83.170.105.119"
FF - prefs.js..network.proxy.socks_port: 3128
FF - prefs.js..network.proxy.ssl: "83.170.105.119"
FF - prefs.js..network.proxy.ssl_port: 3128
FF - prefs.js..network.proxy.type: 0
O4 - HKCU..\Run: [jdsfjsdijf.exe] C:\jdsfjsdijf.exe\jdsfjsdijf.exe File not found
O4 - HKCU..\Run: [Zoiper.exe] C:\Programme\Attractel\Zoiper\Zoiper.exe ()
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

andyb63 26.11.2010 22:03
Arne! danke für die reponse.

eben OTL mit dem code von oben laufenlassen, gebootet und dies popt auf:

Code:
All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Prefs.js: "83.170.105.119" removed from network.proxy.backup.ftp
Prefs.js: 3128 removed from network.proxy.backup.ftp_port
Prefs.js: "83.170.105.119" removed from network.proxy.backup.gopher
Prefs.js: 3128 removed from network.proxy.backup.gopher_port
Prefs.js: "83.170.105.119" removed from network.proxy.backup.socks
Prefs.js: 3128 removed from network.proxy.backup.socks_port
Prefs.js: "83.170.105.119" removed from network.proxy.backup.ssl
Prefs.js: 3128 removed from network.proxy.backup.ssl_port
Prefs.js: "83.170.105.119" removed from network.proxy.ftp
Prefs.js: 3128 removed from network.proxy.ftp_port
Prefs.js: "83.170.105.119" removed from network.proxy.gopher
Prefs.js: 3128 removed from network.proxy.gopher_port
Prefs.js: "83.170.105.119" removed from network.proxy.http
Prefs.js: 3128 removed from network.proxy.http_port
Prefs.js: true removed from network.proxy.share_proxy_settings
Prefs.js: "83.170.105.119" removed from network.proxy.socks
Prefs.js: 3128 removed from network.proxy.socks_port
Prefs.js: "83.170.105.119" removed from network.proxy.ssl
Prefs.js: 3128 removed from network.proxy.ssl_port
Prefs.js: 0 removed from network.proxy.type
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\jdsfjsdijf.exe deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Zoiper.exe deleted successfully.
C:\Programme\Attractel\Zoiper\Zoiper.exe moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
 
User: All Users
 
User: andy
->Temp folder emptied: 59352533 bytes
->Temporary Internet Files folder emptied: 167557734 bytes
->Java cache emptied: 181669143 bytes
->FireFox cache emptied: 107930696 bytes
->Google Chrome cache emptied: 225450403 bytes
->Flash cache emptied: 2382890 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32969 bytes
->FireFox cache emptied: 3308850 bytes
->Flash cache emptied: 348 bytes
 
User: NetworkService
->Temp folder emptied: 49364 bytes
->Temporary Internet Files folder emptied: 85536465 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 3713927 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 460949 bytes
RecycleBin emptied: 317202903 bytes
 
Total Files Cleaned = 1,101.00 mb
 
 
OTL by OldTimer - Version 3.2.17.3 log created on 11262010_211011

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\_avast5_\Webshlock.txt not found!

Registry entries deleted on Reboot...
ansonsten kann ich z.zt. keine störungen feststellen.

schön, dass alle tmp files mal weg sind.

klitzekleine frage: warum wurde wohl mein VOIP programm zoiper.exe gelöscht?

gruss und danke
andy

cosinus 27.11.2010 15:00
Zitat:
klitzekleine frage: warum wurde wohl mein VOIP programm zoiper.exe gelöscht?
Das Teil hab ich mit ins Script genommen, weil es nach einem Schädling aussah. Stell die Datei aus dem OTL-Quarantäneordner wieder her (C:\_OTL)

corrosion 06.12.2010 17:38
Um das mit der jdsfjsdijf.exe weiterzuführen und nicht allzukompliziert für den nachfolgenden Leser zu machen.
Wenn Ihr Euch das eingefangen habt:
Es sind keine Löschtools notwendig.
Sie ist bei der Installation eine versteckte Systemdatei geworden.
Also alle Dateien anzeigen lassen und "Schreibschutz" und "versteckt" aufheben.
msconfig öffnen und sie aus dem Autostart entfernen.
Nun Rechner neu starten und im abgesicherten Modus laufen lassen.
Ordner bzw Datei löschen oder umbenennen.
Neu starten.
Das war's.
Wer sie gleich finden möchte: Sie wird in C:\ installiert.
Wer mag sollte sie auch in der Registry suchen und den Eintrag entfernen.

cosinus 06.12.2010 20:06
Zitat:
nicht allzukompliziert für den nachfolgenden Leser zu machen.
Nicht "allzukompliziert" bedeutet aber auch keine vernünftige Bereinigung. Einen Eintrag mit msconfig und eine Datei zu entfernen - mal ehrlich, du glaubst das doch selbst nicht, dass es so einfach ist verseuchte Rechner so zu entseuchen! :pfeiff:

corrosion 07.12.2010 10:57
Ich will mal was zitieren:
Zitat:
Um das mit der jdsfjsdijf.exe weiterzuführen und nicht allzukompliziert für den nachfolgenden Leser zu machen.
Wenn Ihr Euch das eingefangen habt:
Es sind keine Löschtools notwendig.
Sie ist bei der Installation eine versteckte Systemdatei geworden.
Also alle Dateien anzeigen lassen und "Schreibschutz" und "versteckt" aufheben.
msconfig öffnen und sie aus dem Autostart entfernen.
Nun Rechner neu starten und im abgesicherten Modus laufen lassen.
Ordner bzw Datei löschen oder umbenennen.
Neu starten.
Das war's.
Wer sie gleich finden möchte: Sie wird in C:\ installiert.
Wer mag sollte sie auch in der Registry suchen und den Eintrag entfernen
.

genauso einfach ist das. So ist das mit manchen Sachen!
Deswegen hab ich das hier auch geschrieben.
Hierzu benötigt man keine aufwendigen Techniken.

Ich wollte den Spezialisten hier natürlich nicht zu nahe treten.

Doch muss man auch mal bedenken, das es hier auch Leser gibt, denen das alles zu viel wird, was hier manchmal empfohlen wird.
Wer also mit spezieller malware, Sniffer oder was weissich Erfahrung hat, sollte hier nicht gleich niedergeschrien werden.
Nicht "allzukompliziert" bedeutet aber auch keine vernünftige Bereinigung. <-- in diesem speziellen Fall eben doch.

cosinus 07.12.2010 11:59
Zitat:
<-- in diesem speziellen Fall eben doch.
Und was machst wenn da noch andere Schädlinge bei sind?
Und was machst du, wenn eine andere Variante des Schädlings drauf ist die du vemutest, die sich aber völlig anders verhält?


Zitat:
genauso einfach ist das. So ist das mit manchen Sachen!
Eben dann nicht mehr. Dann muss man doch aufwändiger analysieren und bereinigen oder das System gleich plätten.
Aber davon auszugehen, dass es reicht zwei Einträge zu löschen und die Sache ist erledigt zeugt von großer Naivität. :rolleyes:

corrosion 07.12.2010 18:33
Nun - ich habe hier beschrieben wie man am schnellsten und auch mit greringsten Aufwand die jdsfjsdijf.exe entfernen kann.
Darum ging es.

Wenn es jemanden anpisst, der im Jahr 23einhalbtausend Beiträge schreibt, tut mir das nichtmal leid.
Deine Worte spiegeln nur wieder, was man oft über das Trojaner Bord hört.
Arrogant und selbstgefällig!
Du scheinst genau in dieses Bild hineinzupassen.
Herzlichen Glückwunsch.

Ich beantrage hiermit diesen Beitrag zu schließen.

cosinus 08.12.2010 08:25
Zitat:
Nun - ich habe hier beschrieben wie man am schnellsten und auch mit greringsten Aufwand die jdsfjsdijf.exe entfernen kann.
Das mag sein aber wie sinnvoll das ganze ist, ist ne andere Frage. Und wie "zuverlässig" die weg ist weiß man so auch nicht.

Zitat:
Wenn es jemanden anpisst
Ja, ich glaub du fühlst dich da jetzt echt auf den Schlips getreten, weil ich dir schrieb, dass es mit dem Löschen von 1-2 Objekten bestimmt nicht getan ist. Kritikfähigkeit bei dir gleich 0?


Zitat:
der im Jahr 23einhalbtausend Beiträge schreibt, tut mir das nichtmal leid.
Arrogant und selbstgefällig!
Ich beantrage hiermit diesen Beitrag zu schließen.
Sry wenn du Probleme hast mit Kritik umzugehen muss man nicht mit der Beleidigungschiene ankommen.

*PLONK*

cosinus 08.12.2010 11:20
Zitat:
Nun - ich habe hier beschrieben wie man am schnellsten und auch mit greringsten Aufwand die jdsfjsdijf.exe entfernen kann.
Hier ist der Beweis, dass dein angeblich geringer Aufwand völlig aus der Luft gegriffen ist => http://www.trojaner-board.de/93451-t...t-erkannt.html

Bei "goljef" kam zusätzlich noch ein versteckter Ordner "C:\clearpogx.exe" mit zwei weiteren Dateien zum Vorschein.

Zitat:
Deine Worte spiegeln nur wieder, was man oft über das Trojaner Bord hört.
Wenn du schon nicht mit Wissen glänzt, solltest du zumindest einsehen, dass deine Anleitung zum Bereinigen wenig Aussicht auf Erfolg hat (da mit großer Wahrscheinlichkeit noch andere Schädlingselemente vorhanden sind). Aber stattdessen kommt lieber die Beleidigungsschiene von dir, in der du andere als arrogant und selbstgefällig betitelst :stirn: (schau mal in die Spiegel :pfeiff: )


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131