Hallöchen,

nachdem ich jetzt tagelang unendlich viele Möglichkeiten erfolglos durchprobiert habe, die Trojaner Agent NBU, Agent.BI und WinShow.NAL von einem infizierten System zu löschen, bin ich total verzweifelt und zweifle so langsam an meinem Verstand.

Ich muss dazu sagen, dass es den Rechner einer Bekannten betrifft, der ich über Netmeeting helfe da sie sehr weit weg wohnt und niemanden im Bekanntenkreis hat, der ihr helfen könnte.

Folgendes Problem: Sobald sie den IE öffnet, poppen ca. 10 Virenwarnungen auf mit o.g. Virenmeldungen, und obwohl sie (bzw ich) immer auf Beenden klickt, nisten sich immer wieder Viren-Dateien im System ein, die dann von dem Virenscanner nimmer erkannt werden.

Selbst nach kompletter Viren-Identifikation mittels e-scan und anschliessendem Löschen tauchen diese Viren beim Star des IE wieder auf, und auch das Löschen der betreffenden Files via HighjackThis im abgesicherten Modus bringt absolut nix.

Hier mal der Log von HighJackThis. Die rot markierten Einträge hat sie jeweils im abgesicherten Modus gelöscht, kommen aber nach dem NeuStart und Start des IE sofort wieder. Leider nisten sich dann sogar immer wieder neue Einträge ein wie zB ein WinNTLogonService der eine javauz32.exe beim Starten des Systems lädt - trotz Löschen unten rot markierter Einträge.

Wäre klasse wenn ihr mir irgendwie weiterhelfen könntet, denn leider kann ich per Netmeeting-Fernwartung keine Festplatte bei ihr neu formatieren.

Logfile of HijackThis v1.99.1
Scan saved at 18:22:35, on 18.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NOD32\nod32krn.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\NOD32\nod32kui.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\NetMeeting\conf.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Flavia\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fztdb.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fztdb.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\fztdb.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fztdb.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fztdb.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fztdb.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fztdb.dll/sp.html#44768
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {54F789CF-769C-0499-3DEF-E8A65CCE0409} - C:\WINDOWS\javalg.dll
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\NOD32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\System32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXEO12 - Plugin for .png: C:\Programme\Internet Explorer\PLUGINS\npqtplugin6.dll
O15 - Trusted Zone: www.bitdefender.de
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.trendmicro.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O16 - DPF: ConferenceRoom Java Client - http://irc2.bluewin.ch/java/cr.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/ado...playernow.html
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\NOD32\nod32krn.exe

Die Trusted-Site Einträge haben wir auch schon im abgesicherten Modus unter den Internet-Optionen bei "Vertraute Seiten" entfernt ohne Erfolg. Seltsamerweise erscheint seit der teilweisen Löschung der Viren keine manipulierte Startseite mehr, sondern die weise about:blank-Seite. Man könnte meinen dass es nicht mehr mit der manipulierten Startseite zusammenhängt, trotz allem lädt er die Viren beim Start des IE von ca. 10 verschiedenen Webseiten, bei denen die Quellen jedoch nur vom Virenprogramm angezeigt werden, nicht etwa "visuell" per IE-Seite.

Grüsse
Andreas

@AndiOnTour

Zitat:

...dass es den Rechner einer Bekannten betrifft, der ich über Netmeeting helfe da sie sehr weit weg wohnt und niemanden im Bekanntenkreis hat, der ihr helfen könnte....leider kann ich per Netmeeting-Fernwartung keine Festplatte bei ihr neu formatieren.

Sie kann sich aber an eine Reparaturwerkstatt von Profectis oder MediaMarkt wenden: Es ist IMHO besser, als den verseuchten PC zu betreiben. Außerdem: findest du wirklich, dass eine Neuinstallation nach außergewöhnlicher Kenntnissen verlangt? Eine gute Anleitung findet man in meiner Signatur. SP2 muss aber jedenfalls aufgespielt werden: Bestellen XP SP2 CD-ROM

Zitat:

Folgendes Problem: Sobald sie den IE öffnet, poppen ca. 10 Virenwarnungen auf mit o.g. Virenmeldungen, und obwohl sie (bzw ich) immer auf Beenden klickt, nisten sich immer wieder Viren-Dateien im System ein, die dann von dem Virenscanner nimmer erkannt werden.Selbst nach kompletter Viren-Identifikation mittels e-scan und anschliessendem Löschen tauchen diese Viren beim Star des IE wieder auf, und auch das Löschen der betreffenden Files via HighjackThis im abgesicherten Modus bringt absolut nix.

Man muss ab und zu Temporary Internet Files -Ordner leeren
Start/Einstellungen/Systemsteuerung/Internetoptionen/Dateien löschen/Alle Offlineinhalte löschen...

Zitat:

Die rot markierten Einträge hat sie jeweils im abgesicherten Modus gelöscht

Außer

Zitat:

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

würde ich das Gleiche löschen. Es gehört zum Messenger, ist aber nicht absolut notwendig, also Löschen tut nicht Weh.

Zitat:

ein WinNTLogonService der eine javauz32.exe

Das musst du lesen: http://www.kephyr.com/spywarescanner...sm/index.phtml und versuchen, deiner Bekannten über Telefon mit der Neuinstallation zu helfen.