Habn Virus -.-

[The-Punisher]

Hallo Com,

Seit einiger Zeit ist mir aufgefallen das ich einen Virus habe.
Unzwar öffnet er jede 15-20 Minuten den Internet Explorer mit verschiedenen Seiten hier ein Screen:

 Spoiler

Eigentlich hab ich nix schlimmes davor gedownloadet! Nur Minecraft und co. gezockt. Was soll ich tuen.. Den PC neuinstallieren? Achja ich hab noch ein Acc auf Ebay & Paypal kann der Virus irgendwas jetzt dort anstellen? Bitte um Rat.

Danke im vorraus!

[Diablo_]

Mache zunächst einen Scan mit Malwarebyte's Anti-Malware (vollständigen Scan, nichts löschen) und ein HiJackThis Log.

Beide Programme kannst du von Chip.de downloaden. Logge im MOment nirgendwo ein.

MfG Diablo

[The-Punisher]

Ok hier der HijackThis Log:

 Spoiler

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:45:33, on 13.11.2010
Platform: Windows XP SP3, v.5973 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft LifeCam\MSCamS32.exe
C:\DOKUME~1\RAMSTE~1\LOKALE~1\Temp\Enm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 6.exe
C:\WINDOWS\vVX1000.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pando Networks\Media Booster\PMB.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\RAMSTE~1\LOKALE~1\Temp\Enl.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\Epebua.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Dokumente und Einstellungen\RamsteinerGodfather\Eigene Dateien\Downloads\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Programme\ATI\ATICustomerCare\ATICustomerCare. exe"
O4 - HKLM\..\Run: [smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 6.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe
O4 - HKCU\..\Run: [U36VRSFLG6] C:\DOKUME~1\RAMSTE~1\LOKALE~1\Temp\Enl.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: GamersFirst LIVE!.lnk = C:\Programme\GamersFirst\LIVE!\Live.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\RamsteinerGodfather\Anwendungsdaten\ DVDVideoSoftIEHelpers\youtubetomp3.htm
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5659 bytes

So Anti Malware Log File:

 Spoiler

Malwarebytes' Anti-Malware 1.46


Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3, v.5973
Internet Explorer 6.0.2900.3264

13.11.2010 13:38:48
mbam-log-2010-11-13 (13-38-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 191719
Laufzeit: 48 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sshnas (Trojan.Downloader) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Not selected for removal.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Cheat Engine\Systemcallretriever.exe (Trojan.Downloader) -> Not selected for removal.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Ok hab den Virus gefunden



Hier noch der VT Scan

Antivirus Version Last Update Result
AhnLab-V3 2010.11.14.00 2010.11.13 -
AntiVir 7.10.13.235 2010.11.12 TR/Trash.Gen
Antiy-AVL 2.0.3.7 2010.11.13 -
Authentium 5.2.0.5 2010.11.13 -
Avast 4.8.1351.0 2010.11.13 -
Avast5 5.0.594.0 2010.11.12 -
AVG 9.0.0.851 2010.11.13 -
BitDefender 7.2 2010.11.13 -
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.13 -
Comodo 6703 2010.11.13 -
Emsisoft 5.0.0.50 2010.11.13 -
eSafe 7.0.17.0 2010.11.11 -
eTrust-Vet 36.1.7973 2010.11.13 Win32/Renos.D!generic
F-Prot 4.6.2.117 2010.11.13 -
F-Secure 9.0.16160.0 2010.11.13 -
Fortinet 4.2.249.0 2010.11.13 -
GData 21 2010.11.13 -
Ikarus T3.1.1.90.0 2010.11.13 -
Jiangmin 13.0.900 2010.11.13 -
K7AntiVirus 9.67.2973 2010.11.12 -
McAfee 5.400.0.1158 2010.11.13 -
McAfee-GW-Edition 2010.1C 2010.11.12 -
Microsoft 1.6301 2010.11.13 -
NOD32 5616 2010.11.13 -
Norman 6.06.10 2010.11.13 -
nProtect 2010-11-13.01 2010.11.13 -
Panda 10.0.2.7 2010.11.13 -
PCTools 7.0.3.5 2010.11.13 HeurEngine.MalPE
Prevx 3.0 2010.11.13 -
Rising 22.73.04.00 2010.11.13 -
Sophos 4.59.0 2010.11.13 Mal/FakeAV-CX
Sunbelt 7297 2010.11.13 Backdoor.Win32.Bifrose.fsi (v)
SUPERAntiSpyware 4.40.0.1006 2010.11.13 Trojan.Agent/Gen-Nullo[Short]
Symantec 20101.2.0.161 2010.11.13 Bloodhound.MalPE
TheHacker 6.7.0.1.083 2010.11.13 -
TrendMicro 9.120.0.1004 2010.11.13 -
TrendMicro-HouseCall 9.120.0.1004 2010.11.13 -
VBA32 3.12.14.2 2010.11.12 -
ViRobot 2010.11.13.4145 2010.11.13 -
VirusBuster 12.75.1.0 2010.11.12 -


Leider kann ich ihn nicht löschen es kommt immer eine Meldung dass es schreibgeschützt ist obwohl es nicht ist..

[Es19]

SSHNAS21.dll ist ein bekannter Downloader & Bot - Bredolab wenn ich mich nicht irre. Bereinigung zwecklos, neuaufsetzen.

Quote:

Ebay & Paypal kann der Virus irgendwas jetzt dort anstellen?

Ja!

[Diablo_]

Änder' umgehend alle PW von einem sauberen PC aus. Und wie Es19 schon sagte, neu ausetzen.

[Rainvair]

Definitiv von einem nicht befallenen PC aus deine Passwörter ändern, sonst kann sich jedes Kind für 10€ PSC deine Logindaten für Paypal+Ebay kaufen und was dann für eine Rechnung kommt kannst du dir ja ausmalen. Bredolab ist eigentlich nur für die Spam und Scareware Verteilung gedacht und die meisten Bredolab Botnetserver wurden bereits abgeschalten aber du kannst nur auf Nummer sicher gehen wenn du deine Festplatte formatierst.

Zur Infektion: Kann es sein dass ein Kumpel seinen USB Stick dabei hatte und ihn mit deinem PC verbunden hat? Wenn ja solltest du auch deinem Kumpel klar machen er sollte seine Festplatte formatieren und außer dem alle anderen Speichermedien wie eben USB Sticks

[The-Punisher]

Ihr habt mir alle sehr gut geholfen,deswegen habt ihr alle ein thanks verdient.Ich habe die Datei mit dem Unlocker gelöscht und CCleaner alles mal gesäubert Diese Spam-Seiten die jede 15-20 Minuten kommen gibts nicht mehr! Die Datei ist auch gelöscht!

[Diablo_]

Wenn du die Dateien einfach löschst bringt es nichts, du musst dein System schon neu aufsetzen.

[Es19]

Wenn dich das zufriedenstellt - bitte. Ich sehe das System weiterhin als technisch kompromittiert an und erkenne auch noch weitere Malwareeinträge in den Logfiles.

[The-Punisher]

Diese Seiten die immer kommen sind weg

[Es19]

Wie gesagt - die Symptome hast du bereinigt, die Ursache nicht - wenn dir das reicht ist ja alles in Ordnung.

[Diablo_]

Du kannst dich ja freuen wenn die Pop-up Fenster weg sind aber mal sehen ob du immer noch so gechillt bist wenn deine Onlinebanking Accounts weg sind.

Nur mal am Rande: Es ist nicht immer mit ein paar Mausklicks getan und Schwupp ist der Schädling weg.

Und mit einer Neuinstallation ist es immernoch nicht getan. Du musst danach dein System immer auf dem neusten Stand halten mit allem drum und dran.

[zwerg97]

also ne frage ich hab so ein ahnliches problem soll ich jetz einfach mein festplattentrager formatieren und windows neu installieren??? bitte um antwort

[ghostfaced_killer]

lies dir den thread durch und geh genau so vor, erst mal hijack scan + malwarescan machen und hier posten.

[zwerg97]

ich bin mir sicher das ich welche habe ich bin nirgenswo wie ebay oder so angemeldet nur bei paar onlinegames... ich wollte nur wiesen ob es so geht weil ich halt alles von pc runter habne möchte