VIRUS TB/ - SpywareStrike

hallo zusammen,

ich bin am verzweifeln, mein pc hat nen trojaner den spywarestrike draufgeladen hat. ich hab mich in anderen foren etwas eingelesen aber ich beherrsche nunmal das 1x1 der pc welt nicht großartig.
kann mir jemand in verständlichen laien deutsch erklären damit ich diesen blöden trojaner runter bekomme.??
ich zähl auf euch

sandra

 

Hallo Sandra,

wir brauchen für eine Ferndiagnose den LINK zu deiner HiJackThis-Auswertung... Anleitung hier:

http://www.pcwelt.de/forum/showthread.php?t=134046

 

Folgende Dateien werden von der Malware automatisch installiert:

Installer: ss_setup.exe (2553 KB)
MD5: 232aa1a52c70fa4d5c7ad1d09b18b4d4
%ProgramFiles%\spywarestike\uninst.exe (35 KB)
MD5: 1084efccdec44d0b86d1be7398262a0d
%ProgramFiles%\spywarestike\spywarestike.url (1 KB)

%ProgramFiles%\spywarestike\spywarestike.exe (1376 KB)
MD5: bdc731bde32534d216af1eab8efa8b3f
%ProgramFiles%\spywarestike\signatures.ref (994 KB)

%ProgramFiles%\spywarestike\msvcr71.dll* (348 KB)

%ProgramFiles%\spywarestike\msvcp71.dll* (499 KB)

%ProgramFiles%\spywarestike\lang\english.ini (size may vary)

%ProgramFiles%\spywarestike\quarantine\

c:\documents and settings\(user name)\start menu\spywarestike 2.5.lnk (1 KB)

c:\documents and settings\(user name)\start menu\programs\spywarestike\uninstall spywarestike 2.5.lnk (1 KB)

c:\documents and settings\(user name)\start menu\programs\spywarestike\spywarestike 2.5.lnk (1 KB)

c:\documents and settings\(user name)\start menu\programs\spywarestike\spywarestike 2.5 website.lnk (1 KB)

c:\documents and settings\(user name)\desktop\spywarestike.lnk (1 KB)

c:\documents and settings\(user name)\application data\microsoft\internet explorer\quick launch\spywarestike 2.5.lnk (1 KB)

The following registry keys are created:

HKEY_LOCAL_MACHINE\SOFTWARE\SpywareStrike

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SpywareStrike"="C:\Program Files\SpywareStrike\SpywareStrike.exe /h"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\SpywareStrike

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\App Paths\SpywareStrike
"default"="C:\Program Files\SpywareStrike\SpywareStrike.exe"

HKEY_CLASSES_ROOT\Interface\{66F0AC1C-DED5-4965-9E31-39788DF1B264}

HKEY_CLASSES_ROOT\Interface\{849E056A-D67A-431E-9370-2275F26D39B5}

HKEY_CLASSES_ROOT\Interface\{8B7AFBFD-631C-45BA-9145-F059EB58DD73}

HKEY_CLASSES_ROOT\Interface\{AFEB8519-0B8B-4023-8C15-FFB17D5225F9}

HKEY_CLASSES_ROOT\Interface\{BA9CC151-4581-438E-94AF-4C703201B7CA}

HKEY_CLASSES_ROOT\Interface\{BC74C336-FF2C-40C9-AD4E-3772C208406B}

HKEY_CLASSES_ROOT\Interface\{BDF00F24-A571-4392-95EC-04FDFF82A82C}

HKEY_CLASSES_ROOT\Interface\{C4E953E6-770E-4F59-A5E3-43E9F0D682E2}

HKEY_CLASSES_ROOT\Interface\{E0105E7C-D0C4-4DEA-AA21-B02F2960ECAF}

HKEY_CLASSES_ROOT\Interface\{ED39CB7C-1BF6-429B-A275-F183B4A3EFCB}

HKEY_CLASSES_ROOT\Interface\{F23AA637-31D5-4526-
B5C6-9FF89E16202C}

HKEY_CLASSES_ROOT\{C1A4C0C9-DBD0-493A-93F8-0B05EDC96224}

HKEY_LOCAL_MACHINE\SOFTWARE\Licenses

HKEY_LOCAL_MACHINE\SOFTWARE\SpywareStrike

HKEY_CLASSES_ROOT\AppID\SpywareStrike.EXE

 

Hallo,
ist nicht ganz einfach, vorallem weil meine Lieblingsseite mit den jeweiligen Anleitungen zu den Tools gerade offline ist.
Erstelle mal ein HijackThis log wie hier beschrieben und poste den Link.
Außerdem besorgst du dir folgendes Tool, entpackst es, gehst in den abgesicherten Modus (F8 beim booten drücken) und führst die runthis.bat aus, danach postest du den Inhalt der Datei C:\smitfiles.txt.

Und mache mal einen Onlinescan bei Panda und berichte was gefunden wird.

Edit:
Bin ich langsam
Normalerweise wird auch eine Datei namens C:\Windows\System32\netwrap.dll
erstellt.


Grüße Jasager

 

hallo wolfgang,

erstmal danke für deine fixe antwort, hier nun die auswertung:

http://www.hijackthis.de/logfiles/e71d6d0c2752f7f2fc06a23efc0da357.html

ich hoffe ich habe alles richtig gemacht ?!?!?!

 

hi jasager,

halte mich für blöd aber ich versteh diesen satz nicht
*schäm*

HiLfE

 

Wenn der PC hochfährt (=bootet), drückst du immer wieder die Taste F8, bis er (der PC ) dir anbietet, unter anterem im abgesicherten Modus zu starten. Das wählst du dann aus.

EDIT:
@Jasager
Mann, bist du lahm...

 

Hallo,
brauchst dich nicht schämen, gibt keine böde Fragen, wenn du den Computer neu startest, mußt du während er hochfährt F8 drücken, und dann in einem Textmenü "Computer im abgesicherten Modus starten" wählen.
Noch was zu deinem HijackThis log, das ist sehr ungewöhnlich, hattest du mal ein anderes System installiert o.ä.?
Edit
stimmt Aber ich grübele auch immer noch über dem HijackThis Log, sowas habe ich bisher noch nicht gesehen.


Grüße Jasager

 

ok die f8 geschichte hab ich (hoffentlich) kapiert

wg. dem betriebssystem, gute frage. der rechner gehört meinem bruder...
kann ich dir gar nicht beantworten...

ist das so wichtig?
kann man schon feststellen wo der fehler liegt?

oder muss/soll ich die anderen beschrieben sachen (f8 dingsbums ) auch noch amchen?

 

Hallo,

sieht übel aus.. sind noch mehr Infektionen außer dem SpywareStrike..

Laufender Prozess. (nvctrl.exe)
Trojan.StartPage.adh

Dann kommt noch der "sp.html" dazu auch hier lesen:
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINDOWS\icjul.dll/sp.html#60128

Bevor du anfängst zu fixen und zu löschen beschaffe dir noch dieses Reparatur-Tool um die Winsock zu reparieren:

Winsock reparieren:
http://www.spychecker.com/program/lspfix.html

oder...
WinsockFix.exe
http://www.tacktech.com/display.cfm?ttid=257

 

Das geht mir auch so..
hast du eine Erklärung für die ganzen "file missing's"

 

Hallo,
@Wolfgang77
Die nvctrl.exe gehört zum normalen Infektionsbild von Spywarestriker
Warum die Winsock reparieren? Die ist doch intakt (kein verdächtiger O10 Eintrag)
Ob das spfix Tool hier funktioniert bin ich mir nicht sicher, einen Versuch ist es wert. Vielleicht auch noch mal mit CWShredder, aber dazu später.
Hast du eine Idee zu den komischen O23 Einträgen?

Edit
Nein, keine Ahnung, auch das die normalen systemprozesse als O23 Einträge gestartet werden/wurden ist mir vollkommen neu. Und die "File missing" Einträge sind mir auch nicht klar, wenn die Dateien nicht da wären, würde das System nicht mehr funktionieren, seltsam das alles.


Grüße Jasager

 

Hallo,
@ineedhelp!!!
Ja, auf jeden Fall noch das mit dem F8 machen, und danach die C:\smitfiles.txt posten.


Grüße Jasager

 

also ich hab es bis gerade eben probiert in den abgesicherten modus zu rutschen, geht nicht.
ich bekomme keine verbindung

ist das so "zwingend" notwendig?
bin mittlerweile ziemlich angefressen...

was wär der nächste schritt?

 

Hallo,
dann lass mal das Tool im normalen Modus laufen, dann erkennt es wenigstens, kann aber wahrscheinlich nicht entfernen.


Grüße Jasager

 

soll ich alle laufwerke durchchecken lassen?
ist doch so was ähnliches wie AntiVir?
das hab ich schon heute mal durchgelassen, hat aber nichts gefunden...

 

Hallo,
was ist denn aus dem Smitrem Programm geworden, hast du es jetzt im normalen modus ausgeführt?
Ja lass mal alle (Festplattenlaufwerke) checken (Ich nehme mal an du meinst den Panda Onlinescan), und ja der hat andere Erkennungsmechanismen wie AntiVir und ist was deine Infektion angeht auch sehr zuverläßig.


Grüße Jasager

 

all files have been extracted kommt dabei raus, muss ich irgendwas beachten? anderen pfad eingeben oder sonstirgendwas, weil richtig "werkeln" tut er nicht, ich drück auf run...bat und fertig ist er schon...


ich lass gerade noch nebenher eTrust Antivirus durchlaufen, ist denk ich mal ähnlich dem Panda, oder?

 

hallo zusammen,

ich habe am sonntag abend noch smitRem gestartet und seit dem ist dieses rote aufblinkende kreuz samt spyware verschwunden, kann das sein das es WEG ist? trau dem frieden nicht ganz...
auch kam sonst nach dem start von smitRem keine weitere meldung oder feld mehr ...
ganz komische angelegenheit, ich werd noch mal den viren scan drüberlaufen lassen und morgen mal hier wieder reinschauen, freu mich auf antworten

beste grüße sandra

 

na dann , guckst du und machst du : http://www.zdnet.de/enterprise/os/0,39023494,39125778,00.htm

und lass die Finger von Java und ICQ , sehr schädlich die beiden.