Trojaner

Internet Internet Sicherheit
#1

hallo,
ich habe seit der letzten lan so nen trojaner. es kommt ständig , alle 15-30 min, eine windows defender meldung, dass ein "reno.jh in win32 ist. außerdem bekomme ich eine fehlermeldung beim start, dass er nicht auf system32/sshnas.dll konnte speicher nicht öffnen.
hab mal highjack scannen lassen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:43:32, on 27.11.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\msa.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
O4 - HKLM…\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] „C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe“
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM…\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM…\Run: [avgnt] „C:\Program Files\Avira\AntiVir Desktop\avgnt.exe“ /min
O4 - HKCU…\Run: [ProductReg] „C:\Program Files\Acer\WR_PopUp\ProductReg.exe“
O4 - HKCU…\Run: [msnmsgr] „C:\Program Files\Windows Live\Messenger\msnmsgr.exe“ /background
O4 - HKCU…\Run: [Skype] „C:\Program Files\Skype\Phone\Skype.exe“ /nosplash /minimized
O4 - HKCU…\Run: [SSHNAS] rundll32.exe C:\Windows\system32\sshnas.dll,DllWork
O4 - HKCU…\Run: [Videohost] C:\Users\Alessandro\AppData\Local\Temp\c.exe
O4 - HKUS\S-1-5-19…\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‚LOKALER DIENST‘)
O4 - HKUS\S-1-5-19…\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‚LOKALER DIENST‘)
O4 - HKUS\S-1-5-20…\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‚NETZWERKDIENST‘)
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra ‚Tools‘ menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)
O9 - Extra ‚Tools‘ menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvl

hab mir in letzter zeit mehrere recovery programme runtergeladen. ich hoffe auf eine schnelle antwort.
vielen dank schonmal

#2

hallo,
ich habe seit der letzten lan so nen trojaner. es kommt
ständig , alle 15-30 min, eine windows defender meldung, dass
ein "reno.jh in win32 ist. außerdem bekomme ich eine
fehlermeldung beim start, dass er nicht auf
system32/sshnas.dll konnte speicher nicht öffnen.
hab mal highjack scannen lassen
am bessten neu aufspielen dein system wenn der scanner nix findet !!! ist das beste in dem fall

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:43:32, on 27.11.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\msa.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet
Explorer\Main,Default_Page_URL =
http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page

http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&…
R1 - HKLM\Software\Microsoft\Internet
Explorer\Main,Default_Page_URL =
http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&…
R1 - HKLM\Software\Microsoft\Internet
Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search
Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page

http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&…
R0 - HKLM\Software\Microsoft\Internet
Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet
Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet
Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub -
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program
Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} -
(no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm -
{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program
Files\Common Files\Microsoft Shared\Windows
Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO -
{B4F3A835-0E21-4959-BA22-42B3008E02FF} -
C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
O4 - HKLM…\Run: [Windows Defender] %ProgramFiles%\Windows
Defender\MSASCui.exe -hide
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] „C:\Program
Files\Adobe\Reader 9.0\Reader\Reader_sl.exe“
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE
C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [RtHDVCpl] C:\Program
Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM…\Run: [Skytel] C:\Program
Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM…\Run: [avgnt] „C:\Program Files\Avira\AntiVir
Desktop\avgnt.exe“ /min
O4 - HKCU…\Run: [ProductReg] „C:\Program
Files\Acer\WR_PopUp\ProductReg.exe“
O4 - HKCU…\Run: [msnmsgr] „C:\Program Files\Windows
Live\Messenger\msnmsgr.exe“ /background
O4 - HKCU…\Run: [Skype] „C:\Program
Files\Skype\Phone\Skype.exe“ /nosplash /minimized
O4 - HKCU…\Run: [SSHNAS] rundll32.exe
C:\Windows\system32\sshnas.dll,DllWork
O4 - HKCU…\Run: [Videohost]
C:\Users\Alessandro\AppData\Local\Temp\c.exe
O4 - HKUS\S-1-5-19…\Run: [Sidebar] %ProgramFiles%\Windows
Sidebar\Sidebar.exe /detectMem (User ‚LOKALER DIENST‘)
O4 - HKUS\S-1-5-19…\Run: [WindowsWelcomeCenter] rundll32.exe
oobefldr.dll,ShowWelcomeCenter (User ‚LOKALER DIENST‘)
O4 - HKUS\S-1-5-20…\Run: [Sidebar] %ProgramFiles%\Windows
Sidebar\Sidebar.exe /detectMem (User ‚NETZWERKDIENST‘)
O8 - Extra context menu item: E&xport to Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen -
{219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program
Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra ‚Tools‘ menuitem: In Windows Live Writer in Blog
veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} -
C:\Program Files\Windows
Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: OneNote Lin&ked Notes -
{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)
O9 - Extra ‚Tools‘ menuitem: OneNote Lin&ked Notes -
{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)
O10 - Unknown file in Winsock LSP:
c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP:
c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP:
c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvl

hab mir in letzter zeit mehrere recovery programme
runtergeladen. ich hoffe auf eine schnelle antwort.
vielen dank schonmal

#3

Hallo doubledamage!

Du hast Dir einen sehr aggressiven Schädling eingefangen, der auf Deinem PC installiert ist!
Auch wenn Du den PC scheinbar noch mit einem Antivirenprogramm bereinigen kannst, weis man nicht, welche Systemdateien inzwischen schon manipuliert wurden, oder ob der PC einem kriminellem Netzwerk angeschlossen wurde: Http://www.emsisoft.de/de/kb/articles/tec070503/

Daher empfehle ich Dir doubledamage, alle Deine Daten sichern, den infizierten PC vom Internet trennen, die Festplatte formatieren und Windows anschließend ganz neu installieren! Durch das Formatieren kann man wirklich zu 100% sicherstellen, dass der PC wieder Dir ganz alleine gehört!

Wenn Du anschließend aber Deinen PC besser absicherst, wie z.B. mit einem eingeschränktem Benutzerkonto, Alternativbrowser, etc. dann wird eine solche Infektion in Zukunft auch nicht mehr wieder passieren:

Ich bekomme oft (und auch immer sehr gerne) Anfragen dieser Art, aber damit ich nicht jedes Mal genau das selbe wieder neu schreibe, und damit auch immer alle wichtigen Informationen enthalten sind, habe ich eine Standard-Anleitung zum Thema PC Sicherheit geschrieben! Da das Thema Internet-Sicherheit sehr komplex ist, lässt sie sich leider nicht kürzer fassen, ohne dass wichtige Informationen fehlen würden!

Diese Anleitung (PC–Sicherheit.pdf) kannst Du unter diesem Link als herunterladen und auf Deinem PC abspeichern doubledamage: ftp://Bernd123:[email protected]

Leider kürzt wer-weiss-was immer den Downloadlink, deswegen wird nach einem Benutzername und Passwort gefragt, beide lauten: Bernd123

viele Grüsse,

Bernd

#4

okay danke schonmal,
leider geht das mit dem formatieren nicht so wie geplant, da ich ein minipc ohne cd/dvd laufwerk habe, vista war vorinstalliert. das einzige program, welches für solche fälle schon vorhanden war, ist acer recovery manager. da ist das problem , dass man entweder alles löscht zweitens nur das betriebssystem wiederherstellt und drittens die treiber neu installiert… eine vista cd wurde gar nicht erst mitgeliefert…

Acer aspire revo
atom prozessor, 2 gb ddr2, vista home premium

#5

also ich danke allen für die schnellen antworten.
habe mir gestern kaspersky für 29€ gekauft. heute kam der lizensschlüssel per mail. hab ihn direkt scannen lassen und siehe da 19 trojaner gefunden und alle gelöscht, viele sind wohl beim download von dem recovery programm „SUPER“ auf den pc gelangt.

@bernd: ja ich benutze den IE8 sowieso nicht war vorinstalliert am besten finde ich mozilla. ist es eigentlich ein problem bzw. treten welche auf, wenn man mehrer browser installiert hat

#6

Hallo Doubledamage,

Achso, das ist allerdings eigentlich auch kein Problem! Du kannst alle Deine Daten auf einem USB Stick sichern, oder einen externen Brenner oder eine externe Festplatte anschließen!

Wenn Du dann alles wichtige gesichert hast, auch Emails und Adressbücher etc., dann kannst Du den Acer Recovery Manager starten! Hierbei wird der Mini PC auf den Ursprungszustand zurückgestellt, wie er war als er gekauft wurde! Auch alle Treiber werden hierbei automatisch fertig installiert!

Anschließend müsstest Du nur noch das aktuelle Service Pack installieren Doubledamage, sowie die Windows Updates, und das am besten noch bevor Du zum ersten Mal online gehst!

Zum Schluss noch Deine Daten zurückspielen und die Programme installieren, die Du bisher installiert hattest!

Ich kann Dir keinen anderen Weg wirklich empfehlen, da bei aggressiven Trojanern Bereinigungsversuche oft gar nicht klappen, und wenn dann meistens nur teilweise, und die Schädlinge trotzdem zum Teil aktiv bleiben . . .

Durch das zurückstellen auf den Auslieferungszustand hingegen kannst Du 100% sicher sein, das alle Viren weg sind!

viele Grüsse,

Bernd

#7

Hallo nochmal doubledamage :smile:

Na, dann wollen wir mal hoffen, das wirklich keine Viren übrig geblieben sind, ganz sicher kann man da nämlich nicht sein!

Zu Deiner Frage: Nein, Du kannst bedenkenlos mehrere Browser parallel installieren, die kommen sich NICHT gegenseitig ins Gehege!

Nur Antivirenprogramme und Firewalls darf man nur jeweils 1x installieren!

Ich wünsche Dir noch einen angenehmen Sonntag,

Bernd