|
Infektion über java / rundll32.exe hallo, leider hats mich gestern erwischt und ich werde nicht mehr herr der lage. beim nächtlichen surfen hat sich plötzlich der windows dialog (ein echter) geöffnet, ob ich sicher bin rundll32 auszuführen. da ich mal wieder 10 dinge gleichzeitig gemacht habe (diverse programme liefen) und total im klickwahn war, klickte ich bereits akzeptieren, bevor ich überhaupt registriert hatte, was ich da klicke. im gleichen moment schwante mir schon böses. was soll ich sagen... die infektion war mit ansage! folgende symptome: ein blick in den taskmanager zeigte direkt prozesse wie javah.exe, javaw.exe, mehrere instanzen von rundll32.exe (vorher hatte ich keine einzige). permanent öffnet sich ein IE fenster mit werbung oder einer google suchanfrage "111211url.cptgt.com". in firefox werden google suchergebnisse auf 7search oder andere seiten umgeleitet. mehrere firefox addons haben sich installiert mit den namen: "java console 6.0.12" bis "java console 6.0.22" der rechner ist spürbar langsamer. hijackthis hab ich bereits laufen lassen und einige auffällige prozesse entfernt, allerdings bleibt das problem. anschliessend habe ich auch malwarebytes anti-malware laufen lassen, das ebenfalls 9 infektionen gefunden und (angeblich) erfolgreich entfernt hat. leider besteht das problem weiter. eine mögliche ursache ist das java nicht up-to-date war. ein besuch auf der java webseite sagt mir zwar, dass ich den neuesten client habe, das ist aber definitiv unwahr! im anhang hänge ich 2 logs von hijackthis und anti-malware an. vielen dank für jegliche hilfe! |
1. immer genaue beschreibungen. 2. nimm keinerlei reinigung selbstständig vor, sonst ist das nur störend. 3. reiche alle evtl vorhandenen scan logs nach. ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt |
hier die scan logs... danke! |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
und hier das combofix log |
VirusTotal - Free Online Virus, Malware and URL Scanner dort prüfe: c:\windows\system32\authsrv32.dll falls datei bereits analysiert, klicke erneut prüfen, poste den ergebniss link |
die datei existiert nicht. ich lasse alle dateien anzeigen, auch die systemdateien. also sie ist definitiv nicht da. ich habe direkt nach der infektion hijackthis ausgeführt und diesen eintrag fixen lassen. vermutlich wurde sie gelöscht!? |
welche probleme gibts noch genau? |
vielen dank erstmal ausdrücklich für die superschnelle helpline hier!!! also ich beschreibe nochmal genau die syptome: erstmal: manchmal passiert für 5 - 10 minuten nichts. alles scheint ganz normal. dann öffnen sich schlagartig IE fenster im ca. 60 sekundentakt die entweder auf google suchergebnisse dieser url verweisen: "111211url.cptgt.com" (das lustige ist, an dritter stelle ist dieser(!!!) thread hier) oder auf diverse werbungs seiten. wenn ich die fenster schliesse, läuft trotzdem der sound der werbungen weiter im hintergrund. nur durch killen des IE aus der prozessliste bekomme ich wieder ruhe. ein paar minuten passiert wieder nichts, dann geht das spektakel von vorne los. im firefox (IE benutze ich eigentlich nie) werden google suchergebnisse beim anklicken auf eine seite namens 7search.com umgeleitet, die von mir will, dass ich dort einen fragebogen ausfülle. gelegentlich werden suchergebnisse auch auf andere werbungsseiten umgelenkt. wenn ich den link einer seite aber manuell in die firefox adresseiste eingebe findet keine umleitung statt. firefox wird manchmal sehr, sehr langsam und fast unbenutzbar träge. währenddessen rödelt die platte wie wild. /edit sorry hab den link nicht den regeln entsprechend bearbeitet. also das ist der link der mit 50% wahrscheinlich im IE fenster angezeigt wird: "hXXp://www.google.com/search?q=111211url.cptgt.com" |
|
ein erster scan hat den rechner einfrieren lassen, nur ein kaltstart half. ich lasse den scan jetzt gerade im abgesicherten modus laufen... |
wow... wird immer selbstsamer. im abgesicherten modus hat der rechner sich offenbar wegen überhitzung selbst abgeschaltet. ich muss ihn jetzt erstmal abkühlen lassen... |
ok. bis später. |
ok, hier das gmer log. allerdings aus dem abgesicherten modus. im normalmodus hatte das log sehr viel mehr einträge... |
wo ist das log aus dem normalen modus. |
auch ein zweiter versuch gmer im normalmodus laufen zu lassen scheiterte. vista friert nach ca. 30 min. ein. den virenscanner habe ich deinstalliert, aber der ist scheinbar nicht das problem. daher kann ich auch kein log aus dem normalmodus erstellen. |
kannst du mir bitte noch malneue otl logs erstellen und posten? |
hier die aktuellen logs... |
Liste der Anhänge anzeigen (Anzahl: 1) weiss nicht ob es erwähnenswert ist, aber wegen des gmer scans war AVG deinstalliert und die wlan verbindung getrennt (wie von gmer gefordert) und währenddessen gibts keine nervigen popups. der virus/trojaner/whatever scheint also nur aktiv zu werden, wenn er merkt, dass eine internet-verbindung besteht. sobald ich die verbindung wiederhergestellt habe, bekomme ich sofort diese nachricht (s. anhang). |
• Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found DRV - (igfx) -- C:\Windows\System32\DRIVERS\igdkmd32.sys File not found DRV - (catchme) -- C:\Users\robot\AppData\Local\Temp\catchme.sys File not found O20 - AppInit_DLLs: (authsrv32.dll) - C:\Windows\System32\authsrv32.dll () O20 - AppInit_DLLs: (devdev.dll) - C:\Windows\System32\devdev.dll () O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found :Files :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten. |
genau in diesem moment geht auch AVG auf und weißt mich auf malware hin: c:\windows\system32\devdev.dll soll ich den hinweis erstmal ignorieren und den OTL fix durchführen oder AVG die datei in quarantäne verschieben lassen? |
den otl scan machen. und dann hab ich noch was vergessen. öffne den arbeitsplatz, c: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. lade das archiv in unserem upload channel hoch. http://www.trojaner-board.de/54791-a...ner-board.html beim packen also avg meldung ignorieren. |
hmmm... das problem besteht leider weiterhin. das komische ist auch, dass die dateien devdev.dll und authsrv32.dll nicht existieren. die malware scheint sie irgendwie zu verbergen. AVG findet sie nun auch nicht mehr. das movedfiles archiv habe ich geupped. allerdings sind die .dlls auch dort nicht enthalten. /edit sorry! log vergessen... nun angehangen |
ich hab die bastarde! es scheint so als ob der virus die folder-view eigenschaften immer wieder zuruecksetzt. auf systemdateien nicht anzeigen und versteckte dateien ausblenden. /edit aber scheinbar nur fuer die beiden .dlls im system32 ordner. alle andere versteckten dateien werden ganz normal angezeigt. ich hab die beiden .dll jetzt nochmal einzeln gepackt und uploade sie nochmal. |
poste mal neue otl logs nach neustart bitte |
ok der OTL scan läuft... nach dem neustart sind die folder-eigenschaften übrigens wieder auf systemdateien verbergen, bekannte dateiendungen ausblenden und versteckte dateien nicht anzeigen zurückgesetzt. das eigenartige daran ist, dass aber alle versteckten dateien und systemdateien im c:\ root-verzeichnis und auch im system32 verzeichnis angezeigt werden, außer den beiden betreffenden .dlls! ändere ich den eigenschaft-wert wieder auf anzeigen, sehe ich auch die devdev.dll und die authsrv32.dll. |
und hier die neuen OTL logs |
laut log sind sie nicht mehr aktiev, immernoch die selben probleme? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board