sshnas21.dll

  • geschlossen
  • Problem

  • Atlantto
  • 2662 Aufrufe 6 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • sshnas21.dll

    dieser trojaner/Virus scheint ja momentan groß in Mode zu sein. Mich hats auch erwischt. Allerdings ist die Datei bei mir nicht im system32-ordner sondern "nur" im Temp-verzeichnis eines Users (C:\Users\Andi\AppData\Local\Temp\sshnas21.dll)


    Poste hier mal die log-datei vom Hijackthis-Programm:

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 13:21:10, on 03.05.2010
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.17037)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Windows\stsystra.exe
    H:\Programme\AcrobatReader\Reader\reader_sl.exe
    C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Windows\system32\wuauclt.exe
    C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe
    H:\Programme\Hijackthis\Trend Micro\HiJackThis\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.ask.com?o=15003&l=dis
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\AcrobatReader\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-21-2700097252-2083357806-3482002939-1001\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'Andi')
    O4 - HKUS\S-1-5-21-2700097252-2083357806-3482002939-1001\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User 'Andi')
    O4 - HKUS\S-1-5-21-2700097252-2083357806-3482002939-1001\..\Run: [Canaveral] rundll32.exe C:\Users\Andi\AppData\Local\Temp\sshnas21.dll,BackupReadW (User 'Andi')
    O4 - HKUS\S-1-5-21-2700097252-2083357806-3482002939-1001\..\Run: [M5T8QL3YW3] C:\Users\Andi\AppData\Local\Temp\Tgl.exe (User 'Andi')
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: NMSAccessU - Unknown owner - H:\Programme\CDBurner\CDBurnerXP\NMSAccessU.exe

    --
    End of file - 5151 bytes

    Verdächtig sind für mich diese Zeilen u.a.:
    O4 - HKUS\S-1-5-21-2700097252-2083357806-3482002939-1001\..\Run: [Canaveral] rundll32.exe C:\Users\Andi\AppData\Local\Temp\sshnas21.dll,BackupReadW (User 'Andi')
    O4 - HKUS\S-1-5-21-2700097252-2083357806-3482002939-1001\..\Run: [M5T8QL3YW3] C:\Users\Andi\AppData\Local\Temp\Tgl.exe (User 'Andi')


    diese TGL.exe und die sshnas21.dll hat nämlich als Erstellungsdatum den gestrigen tag.
    Ebenso verdächtig (im gleichen temp-verzeichnis mit gleichem gestrigen erstellungsdatum):
    Tgj.exe (hab ich manuell gelöscht)
    pdfupd.exe (manuell gelöscht)
    rknfl.exe (manuell gelöscht)


    Mit malwarebytes Anti-Malware hab ich die sshnas21.dll zwar entfernen lassen -aber beim systemstart bekomm ich jetzt die meldung dass die sshnas21.dll fehlt. Und im logfile von HijackThis taucht es ja auch weiter auf -siehe oben

    frage: Wie kann ich das zeugs entfernen?

    Äußern tut sich das so: Wie von Geisterhand gehen fenster vom Browser auf um mir dämliche Werbung unterschiedlichster Art anzuzeigen.

    ahja edit:

    Habe hier im forum bei ähnlichen problemen gelesen. Habe mit Hijackthis die von mir genannten Zeilen gefixed. Nun bekomm ich die "sshnas21.dll fehlt" Meldung nicht mehr. Die entsprechenden Zeilen im Hijackthis-logfile tauchen auch nich mehr auf. (Die systemwiederherstellung hatte ich allerdings nicht deaktiviert. War das ein Fehler? )

    Zumindest ist das eigentliche Werbungsproblem mit dem Geister-IE
    (den ich eigentlich gar nicht verwende) gelöst -sprich es öffnen sich nun keine werbefenster mehr. So weit so gut.

    Nun hab ich auch noch in der Registry nach einträgen gesucht.
    Mit sshnas21.dll gibts keine Suchergebnisse mehr

    Allerdings tauchen Tgk.exe und Tgl.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications auf.
    Dumme frage jetzt: Ist das nur ne Mitteilung dass tgl.exe und tgk.exe als sicherheitsleck erkannt wurde oder muss ich den registrierungsschlüssel löschen?

    Ausserdem: Unter HKEY_Current_User\Software\Classes\VirtualStore\Machine\SoftwareMicrosoft\DirectDraw\MostrecentApplication gibt es unter Name auch einen Registrywert Tgl.exe
    Frage: Löschen?

    Unter HKEY_USERS\..... taucht Tgl.exe ebenfalls wieder als wert auf
    Löschen?

    Unter HKEY_Classes_Root\Local Settings\Software\Microsoft\Windows\Shell\Muicache befindet sich eine C:\usersandi\Appdata\Local\Temp\rknfl.exe (Wert: ihrgh Application - was immer das auch bedeutet???)
    UnterHKEY_Current_User auch nochmal so ein Fund mit rknfl.exe

    Soll ich das Löschen? denn die rknfl.exe kam mir ja auch etwas verdächtig vor


    Wäre toll wenn mir jemand weiterhelfen könnte
  • Hallo,

    - System scannen mit Spybot >> Ergebnis?

    - hast du die beiden Einträge ebenfalls schon gefixt?
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
    O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

    - Im abgesicherten Modus sämtliche Temp-Ordner leeren sowie die Systemwiederherstellung deaktivieren, damit u.U. nicht wieder schädliche Dateien hergestellt werden können.

    - Dann solltest du weiterhin im abgesicherten Modus noch einmal ein Logfile erstellen und hier auswerten "lassen" bzw. das Logfile hier posten.

    Gruss Totsch
    .....................Geld allein macht nicht glücklich. Es gehören auch noch Aktien, Beteiligungen, Gold und Grundstücke dazu.
  • Komplettzitate unterlassen!
    MfG Allonewalk


    ja die beiden Einträge hab ich inzwischen auch gefixed

    spybot hab ich gescannt.waren hauptsächlich (harmlose) cookies.
    Irgendwas böseres war auch drauf -hab ich durch spybot löschen lassen. Richtig oder?

    Ok werde noch mal im abgesicherten modus alle temp-ordner löschen und dann noch mal hier posten

    Was sagst du zu den registry-einträgen ,die ich im 1.Beitrag gepostet hab? Harmlos oder soll ich da löschen?

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Allonewalk ()

  • Danke euch!

    Habs gemacht wie vorgeschlagen und zusätzlich alle Registryeinträge gelöscht die mit den verdächtigen Dateien zu tun hatten und bin laut spybot und Hijackthis befallsfrei jetzt. Computer läuft auch einwandfrei und es gibt keine sich von geisterhand öffnende IE-Werbefenster mehr :)
  • Atlantto schrieb:

    ---und bin laut spybot und Hijackthis befallsfrei jetzt.


    sicher kann man sich nie fühlen, denn bei einem kompromittierten System weisst du nie, welche Dateien inzwischen aus dem Netz nachgeladen bzw. welche Dateien inzwischen noch manipuliert wurden. Es kann sein, dass dir inzwischen auch Daten "geklaut" und Passwörter ausspioniert wurden, die man auch umgehend ändern sollte u.a. ganz wichtig bei online-Banking.

    Der beste Weg bei einem kompromittierten System ist immer noch eine Neuinstallation! Es sei denn man hat ein aktuelles, sauberes und gut funktionierendes Backup zu liegen, welches man binnen weniger Minuten wieder "zurückspielen" kann.

    Gruss Totsch

    PS: sollte das Thema für dich abgeschlossen sein, vergiss auch nicht, das Präfix umzustellen.
    .....................Geld allein macht nicht glücklich. Es gehören auch noch Aktien, Beteiligungen, Gold und Grundstücke dazu.