Hallo ihr Lieben!
Hatte die letzten paar Tage alle Hände voll zu tun, mein System zu säubern. Es waren lt. AntiVir TR/Click.526 und TR/Qhost.QR. Ich habe hier im Forum genug ältere Hilfestellungen gefunden, um mit dem Säubern anzufangen. "SpSeHjfix112.exe" hat gleich gut geholfen und sagt seitdem "nicht infiziert". "Hoster.exe" von Toadbee hat dann auch die verschwundenen Register in "Eigenschaften von Anzeige" wiederhergestellt. "sp.dll2" u. a. habe ich mit KillBox gelöscht. Weder AntiVir noch KillBox noch sonst irgendwas fand dann noch eine von den bösen Dateien. Wenn ich aber längere Zeit im Internet war, hat sich aber "ntfsnlpa.exe" als Prozeß eingeschlichen, lt. Security Task Manager "gestartet von Firefox". Ursprünglich hab ich den Mist natürlich über den IE reingekriegt, aber seitdem benutze ich nur noch Mozilla Firefox. Den prozeß habe ich natürlich immer gleich gekillt und dann die Registry noch von Hand durchgesehen. Und zum Schluß alles was ich nicht kannte, mit HJT gefixt. Ich hoffe, mein HJT-Logifle ist jetzt sauber - immerhin ist es herrlich kurz geworden. Schaut ihr euch das mal bitte an?

Logfile of HijackThis v1.99.1
Scan saved at 14:43:47, on 04.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Security Task Manager\SpyProtector.exe
C:\Programme\Microsoft Money\System\reminder.exe
C:\WINDOWS\explorer.exe
C:\Trojanerbekämpfung\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
N1 - Netscape 4: user_pref("browser.startup.homepage", "C:\\Dokumente und Einstellungen\\PC\\Eigene Dateien\\SPDHTML\\index.htm"); (C:\Programme\Netscape\Users\***mein Name***\prefs.js)
O1 - Hosts: localhost 127.0.0.1
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Spy Protector] C:\Programme\Security Task Manager\SpyProtector.exe /autostart
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O16 - DPF: Win32 Classes -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Besonders schön wäre, wenn mir hier ein fachmann oder eine Fachfrau bestätigt, dass mein System wieder sauber ist. melden tut sich im Moment jedenfalls kein Bösewicht mehr.

Dank im Voraus,

Raimund

Sieht eigentlich gut aus.
Da Du den als Antivirenscanner laufen hast:
C:\Programme\AVPersonal\AVGNT.EXE

kannst Du ja mit dem nochmals gegenprüfen. Zu Deiner Sicherheit.
http://www.trojaner-board.de/showthread.php?t=17492

Hallo Felix1,

danke, dass du dich meines Problems annimmst.

Habe jetzt mit eScan ein paarmal gescannt - und tatsächlich, da war noch bzw. wieder einiges vorhanden, was AntiVir nicht meldet:

System found infected with CWS.smartsearch Spyware/Adware (C:\WINDOWS\Start.exe)!
File C:\WINDOWS\sp.dll infected by "Trojan.WinREG.StartPage" Virus!

Letztenannter war genau der, dessen Symptome (ein falscher SpywareCleaner) mir auffielen, den ich aber schon wie in meinem ersten Posting beschrieben gekillt hatte. Die sichtbaren Systemveränderungen (Desktop-Hintergrund und "Eigenschaften von Anzeige") waren auch nicht mehr aufgetreten. Beide Dateien habe ich wie empfohlen mit KillBox gelöscht und alle lt. eScan veränderten Registry-Einträge von Hand gelöscht: wirklich alle, eScan meldet jetzt keinen einzigen Fehler mehr.

Nur einer ist lt. eScan immer noch im System:

Object "Win32.Passma Spyware/Adware" found in File System!

Diese Version von eScan macht ja keine Bereinigung und eine konkrete infizierte Datei wird auch nicht angezeigt. Bei Kaspersky habe ich keine Virenbeschreibung gefunden, nur bei Sophos. Dort wird eine SERVICEMGR.EXE im System32-Verzeichnis als Überltäter genannt, die bei mir aber lt. KillBox und Explorer (natürlich alles im abgesicherten Modus) nicht vorhanden ist. Auch die Registry-Einträge "Service Manager" bei HKLM\Software\Microsoft\Windows\CurrentVersion\Run (etc., die habe ich sowieso schon dauernd im Blick) und bei HKCU\Software\VB and VBA Program Settings sind nicht vorhanden. In der Sophos Beschreibung steht aber auch, dass Win32.Passma die "Time Zones" bei HKLM\Software\Microsoft\Windows\CurrentVersion\Time Zones verändern kann. Und eScan meldet leider auch:

Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\Time Zones !!!

Also wird der Schweinehund dort noch sitzen, aber ich trau mich nicht, die Time Zones komplett zu löschen. Kann man denn wenigstens die weltweiten rausnehmen? Ich brauch ja nur den "Standard" (MEZ) - und woher erfahre ich, wie die richtige Einstellung lautet?

Im Zweifelsfall müsste ich eScan eben kaufen, der kann's ja angeblich bereinigen; mich hat nur gewundert, dass Kaspersky keine Virenbeschreibung hat. Sophos hat eine, will für die Anleitung zur Bereinigung aber ebenfalls sein Programm verkaufen. Vielleicht kann mir ja jemand helfen, wie man das auch von Hand sauber bekommt.

Übrigens: Als ich nach all diesen Maßnahmen im abgesicherten Modus vorhin wieder erstmals online ging, kam promt wieder die Meldung von AntiVir "TR/Qhost.QR" und "TR/Click.526" (für die ich übrigens nirgendwo eine deutsche oder englische Beschreibung finden konnte), danach hatte ich die NTFSNLPA.EXE als Prozeß laufen. Das ist der, der den falschen PSGuard im Infobereich der taskleiste anzeigt; ein Klick darauf, und der Trojan.WinREG.StartPage fängt an, das System zu versauen... Ich habe das Symbol dauerhaft ausgeblendet und lösche den Prozeß sofort, also ist die Gefahr relativ gering, aber es nervt. Mein Security Task Manager beendet den Prozeß ürigens und will dann den EXE-File löschen, meldet aber "Datei nicht mehr vorhanden"; auch KillBox findet sie nicht. Offline passiert garnichts, also bekomme ich den Trojaner aus den Weiten des Internets direkt in meinen Arbeitsspeicher. Ob die von AntiVir gemeldeten "TR/Qhost.QR" und "TR/Click.526" aus den kompromittierten Time Zones die Meldung kriegen, sobald ich eine Leitung offen habe? Arbeiten Viren und Trojaner mittlerweile zusammen??

Ach, und noch was: In meinem Root-Verzeichnis stehen 3 Dateien, die ich nicht kenne:
ntdetect.com
ntldr
pagefile.sys

ntldr wird auch ohne Extension als Systemdatei identifiziert, sie und ntdetect.com werden von eScan nicht beanstandet, pagefile.sys kann jedoch nicht geöffnet werden ("scanning failed") und ich krieg sie auch mit sonst keinem Programm zur Ansicht; hat die im Root überhaupt etwas zu suchen?

Wie gesagt, schlimmes passiert eigentlich nicht mehr, aber dieser dauernden Überfälle sobald ich eine Leitung aufmache nerven; hoffe sehr, dass mir jemand helfen kann.

Raimund

Hallo nochmal,

pagefile.sys ist die Auslagerungsdatei, habe ich eben geschnallt; sie wird wohl in Ordnung sein. Die anderen beiden, ntdetect.com und ntldr habe ich bei Jotti scannen lassen, sind scheints auch ok.