Trojaner/Spyware die IE lahm legt

Ich habe folgendes Problem: Gestern habe ich mir beim Surfen einen Trojaner eingefangen, der den Internetexplorer zum Abturz brachte, die Firewall deaktivierte und den Comuter neu starten ließ.
Wenn ich jetzt den Rechner starte springen ständig neue Fenster mit der Bezeichnung "C:\WINNT\System32\Svchost.exe" auf. Wenn ich den Prozess "sysldr32.exe" beende, kann man den PC zumindest wieder habwegs nutzen, obwohl er auch dann im Firefox noch manchmal kurze Wartezeiten verursacht. Der Internetxplorer und die Firewall funktionieren allerdings überhaupt nicht mehr.
Ich habe dann das Anti-Spyware Programm "RegFreeze" installiert und es hat tatsächlich 20 Bedrohungen gefunden , darunter auch das oben erwähnte große Problem.
Mein Poblem ist jetzt, dass ich, um die Dateien löschen zu können, das Programm RegFreeze erst freischalten muss. Das funktioniert wiederum nicht, da mein IE streikt... (Meldung: "Kann keine Verbindung zum Server herstellen" obwohl ich im Internet bin und Firefox als Standardbrowser eingestellt habe)

Nun bräuchte ich eure Hilfe. Die erste Lösung wäre ein anderes Spywareprogramm, das entweder freeware ist und/oder den IE nicht benötigt. Oder aber ich versuche den IE erst zu reparieren und lasse dann nochmal RegFreeze drüber laufen.
Vielleicht habt ihr aber auch eine ganz andere Idee Ich bin kein Experte... zum Glück gibt es hier welche.
Ich bin für jede Antwort dankbar.

 

Hallo,
poste mal den Link zur Auswertung deines HijackThis Logfile wie hier beschrieben.


Grüße Jasager

 

Wer hat denn RegFreeze empfohlen?
Doch wohl nicht ein aufpoppendes Fenster?

 

Hallo,

Denke nicht, dass ein Rogue Antispyware Programm bei zdnet zum Download angeboten würde, siehe hier.


Edit
oder vielleicht doch?
klick


Grüße Jasager

 

Bitteschön: http://www.hijackthis.de/logfiles/da3ecc8983207d19ab717bc92826815f.html

 

Hallo,
selten ein so durchseuchtes System gesehen, da gibt es wirklich nur noch neuaufsetzen.
Hier eine Anleitung wie du dabei vorgehen solltest, achte datruaf das SP4 einzuspielen bevor du online gehst. Die entsprechenden Dienste würde ich auch noch vorher mit ntsvcfg konfigurieren.


Grüße Jasager

 

Hm. Da ich im Moment noch keine externe Festplatte habe, um die große Menge an Daten zu sichern, suche ich nach vorerst nach einer Notlösung. Gibt es keine Möglichkeit um zumindest den oben beschriebenen Wurm zu deaktivieren? Dann könnte ich zumindest wieder normal mit dem Computer arbeiten und mich später um den Rest kümmern. Gibt es denn kein gescheites Anti-Spyware Programm, das zumindest vorläufig seinen Dienst tut?

 

Hallo,
also als Notlösung für einen begrenzten Zeitraum können wir noch ein wenig rumfrickeln, aber du solltest dann trotzdem recht bald Neuaufsetzen, denn nur weil man keine Symptome mehr hat, heißt das nochlange nicht, dass das System sauber ist.
Achja, und klar sollte auch sein das du dein bisheriges Verhalten im Internet ändern mußt, denn sonst ist es nur eine Zeitfrage bis du dir wieder etwas fängst.

1.) Lösche mal deine Temp Dateien mit Cleanup! und poste die vier Logfiles der Datfind.bat, aber nur die dateien der letzten drei Monate abkopieren!

2.) Besorge dir folgendes Programm, entpacke es, gehe in den abgesicherten Modus (F8 beim booten), führe die runthis.bat aus, und poste danach den Inhalt der Datei C:\smitfiles.txt

P.S. du solltest wenn du dann neu aufsetzt keine ausführbaren Dateien auf das neue System übernehmen (exe, pif, com, scr...)


Grüße Jasager

 

Doch! Wir wär's mit Ad-Aware und Spybot Search & Destroy?

Gruß
Nevok

 

1. log

14.05.2006 11:27 0 filter.drv
14.05.2006 11:23 112.199 attrib.ini
14.05.2006 10:33 0 hard.lck
14.05.2006 10:33 6.144 msvcrl.dll
14.05.2006 10:32 16.384 Perflib_Perfdata_378.dat
13.05.2006 23:58 61.504 perfc009.dat
13.05.2006 23:58 401.098 perfh009.dat
13.05.2006 23:58 74.218 perfc007.dat
13.05.2006 23:58 402.386 perfh007.dat
13.05.2006 23:58 949.182 PerfStringBackup.INI
13.05.2006 23:55 16.384 Perflib_Perfdata_370.dat
13.05.2006 23:10 16.384 Perflib_Perfdata_38c.dat
13.05.2006 19:31 16.384 Perflib_Perfdata_390.dat
13.05.2006 19:23 16.384 Perflib_Perfdata_910.dat
13.05.2006 19:22 1.038 amifeaaa.exe
13.05.2006 19:22 4.001 dvudeaaa.exe
13.05.2006 19:22 16.384 jontdfty.exe
13.05.2006 19:21 10.752 pvtuaaaa.exe
13.05.2006 19:21 1.038 viacaaaa.exe
01.05.2006 16:19 16.384 Perflib_Perfdata_388.dat
27.04.2006 13:53 16.384 Perflib_Perfdata_384.dat
25.04.2006 19:56 16.384 Perflib_Perfdata_380.dat
25.04.2006 14:39 34.308 BASSMOD.dll
21.04.2006 15:22 16.384 Perflib_Perfdata_37c.dat
21.04.2006 15:22 121.336 FNTCACHE.DAT
19.04.2006 11:44 7.006 jupdate-1.5.0_06-b05.log
13.03.2006 15:04 16.384 Perflib_Perfdata_344.dat
07.03.2006 17:28 16.384 Perflib_Perfdata_360.dat
13.02.2006 11:32 16.384 Perflib_Perfdata_34c.dat

2. log

14.05.2006 10:33 0 JET479E.tmp
14.05.2006 10:33 0 JETD64.tmp

3. log

14.05.2006 11:22 1.642.618 WindowsUpdate.log
14.05.2006 09:57 32.552 SchedLgU.Txt
14.05.2006 09:57 553.726 ShellIconCache
14.05.2006 09:30 192 winamp.ini
13.05.2006 23:58 133.351 comsetup.log
13.05.2006 23:58 653.831 iis5.log
13.05.2006 23:58 4.860 imsins.log
13.05.2006 23:58 127.216 ocgen.log
13.05.2006 23:58 8.648 ockodak.log
13.05.2006 23:52 4.870 imsins.BAK
13.05.2006 23:21 4.110 ie7beta2_main.log
13.05.2006 19:40 30.652 ntbtlog.txt
13.05.2006 19:22 4.001 sysldr32.exe
13.05.2006 19:21 698.522 setupapi.log
05.05.2006 15:13 54.156 QTFont.qfn
21.04.2006 11:59 393.022 DirectX.log
19.04.2006 11:44 7.004 mozver.dat
11.04.2006 14:32 40 smartvideoconverter.ini
11.03.2006 12:45 83.769 Sti_Trace.log
16.02.2006 14:41 835 ODBC.INI

4. log

14.05.2006 11:31 0 sys.txt
14.05.2006 11:30 9.642 system.txt
14.05.2006 11:29 333 systemtemp.txt
14.05.2006 11:27 108.431 system32.txt
14.05.2006 10:31 805.306.368 pagefile.sys
11.03.2006 10:37 0 Log.txt


Ich hoffe, das war jetzt richtig.

 

Hallo,
nur nochmal damit du siehst wie nötig ein Neuaufsetzen ist, hier mal die Beschreibung des ersten Trojaner, der mir aufgefallen ist:

Quelle

Und von dem Kaliber hast du bestimmt mehrere auf der Kiste.

Überprüfe mal folgende Dateien hier und poste das Ergebnis:

C:\Windows\System32\amifeaaa.exe
C:\Windows\sysldr32.exe (falls aktiv vorher beenden)


Aus welcher Quelle hast du jetzt eigentlich Regfreeze?

Den zweiten Punkt auch noch abarbeiten.


Grüße Jasager

 

Dankeschön


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows 2000 [Version 5.00.2195]

Running from
C:\Dokumente und Einstellungen\max\Desktop\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

perfcii.ini
logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

sites.ini


~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 424 'explorer.exe'
Killing PID 424 'explorer.exe'
Error 0x5 : Zugriff verweigert


Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~


~~~ Wininet.dll ~~~

CLEAN!

 

Eher: findet sonst nichts mehr.

 

Ich habe einfach über Google nach einem passenden Programm gesucht... hab ich aber schon wieder deinstalliert.


Mal was ganz anderes: Mein Internetprovider ist "teacherADSL", ein spezielles Angebot für Lehrer. Das ist irgendein spezielles Netzwerk. In einer Mail des Providers hieß es einmal, dass ein Rechner im Netzwerk ständig Trojaner einspeist und dass man sich nur mit einer Firewall schützen könne.
Eine Besonderheit ist, dass bei allen Usern die selbe IP angezeigt wird. (Wenn ich mich nur auskennen würde, könnte ich es auch annehmbar erklären ) Jedenfalls meinte ein Kollege von mir, dass man damit sogut wie unhackbar ist. Keine Ahnung ob das stimmt... was meinst du dazu?

 

Hallo,

Ja, aber das Tool sucht ja auch nur nach Smitfraudinfektionen, das dort noch ein haufen anderer Kram drauf ist, steht ausser Frage.


Grüße Jasager

 

Hallo,

totaler Blödsinn.
und du bist sowas von gehackt, gehackter geht es nicht. Ich hoffe übrigens das du keinerlei Schülerdaten auf dem PC hast, denn die darfst du alle als öffentlich voraussetzen.

Überprüfe mal noch die oben genannten Dateien.
Außerdem kannst du mal noch einen Onlinescan bei Kaspersky machen, und posten was gefunden wurde.


Grüße Jasager

 

*lol*
Unsinn.

Noch größerer Unsinn.

Deshalb hat mir das

auch sauer aufgestoßen.

EDIT:
ich halt' mich jetzt mal hier 'raus..

 

Hallo,
übrigens bezieht sich das clean noch nicht mal auf das Log, sondern nur auf die überprüfte wininet.dll. Denn früher wurden diese bei Smitfraudinfektionen infiziert, falls dieses der Fall war tauschte das Tool sie gegen die im dllcache oder die in den Service Pack Files aus.
Exkurs Ende.
Aber du hast schon Recht, der Smilie mit dem Clean könnte einen falschen Eindruck hinterlassen.


Grüße Jasager

 

Gut möglich. Wie gesagt, ist das auch nicht meine persönliche Meinung. Ich verstehe davon nichts.


amifeaaa: überall "no virus found" außer bei Panda "suspicious file"

sysldr:

Heuristic/Malware.Crypted.PSM
(Suspicious) - DNAScan
Trojan.DownLoader.9496
Downloader.Small.cpo
Trojan-Downloader.Win32.Harnig.bl
Trojan-Downloader.Win32.Small.cpo
Win32/Locksky.BH

 

Hallo,
dann werden wir jetzt erstmal etwas resoluter, besorge dir killbox und lösche damit follgende Dateien on reboot:

C:\Windows\System32\hard.lck
C:\Windows\System32\msvcrl.dll
C:\Windows\System32\amifeaaa.exe
C:\Windows\System32\dvudeaaa.exe
C:\Windows\System32\jontdfty.exe
C:\Windows\System32\pvtuaaaa.exe
C:\Windows\System32\viacaaaa.exe
C:\Windows\sysldr32.exe



Außerdem noch den Report von dem Onlinescan posten.


Grüße Jasager