Trojaner, bitte um Hilfe

mukla · 14.08.2005, 10:16

Hallo,

habe seit gestern den Trojaner oder Virus Smitfraud.c (gehabt?). Auffällig war das Hintergrundbild "Your computer is infected..." blabla und das ich mit dem IE nicht mehr surfen konnte, d.h. er ist immer zu so einer komischen Seite gegangen.
Nach ein paar Anleitungen, Antiviren Scannern etc. hoffe ich das mein System wieder sauber ist.

Hier mal die HijackThis logfile:

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 11:07:19, on 14.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\PROGRA~1\OUTPOS~1\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\GoogleFilter\core\googlefilter.exe
C:\Programme\SimpleGrab\SimpleGrab.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\explorer.exe
C:\DOKUME~1\NAME\LOKALE~1\Temp\Rar$EX00.266\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 

http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = 

http://de.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/us/*http://www.yahoo.com/ext/search

/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

http://www.bestwebslinks.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 

192.168.0.8
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - 

C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - 

c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE 

C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [EXPLORER] EXPL0RER.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 

Personal Pro\kav.exe" /minimize
O4 - HKCU\..\Run: [GoogleFilter] C:\Programme\GoogleFilter\FiltecAPP.exe /run
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: SimpleGrab.lnk = C:\Programme\SimpleGrab\SimpleGrab.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame 

Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 

7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - 

res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - 

res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - 

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - 

res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - 

res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 

C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 

C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - 

C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - 

C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - 

C:\Programme\AIM95\aim.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - 

C:\Programme\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - 

C:\Programme\Outpost Firewall\TRASH.EXE (HKCU)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - 

http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - 

http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - 

http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - 

http://webcam.gsg.goe.ni.schule.de/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) 

- http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FAEB4FBF-DBD8-4F83-8C72-627A91744B89}: NameServer 

= 192.168.0.8,192.168.0.8
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe 

Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - 

C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - 

C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - 

VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 

Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - 

C:\WINNT\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - 

C:\PROGRA~1\OUTPOS~1\outpost.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" 

-service (file missing)

Diese komische expl0rer Datei habe ich übrigens schon manuell gelöscht.
Ich hoffe mir kann hier jemand weiterhelfen.

Gruß, mukla

heli2005 · 14.08.2005, 10:32

escan hast gemacht
www.trojaner-info.de/hijacker/escan.shtml

mukla · 14.08.2005, 10:35

Hallo Heli2005,

das habe ich bereits gemacht, hier auch nochmal die Logdatei von smitfiles

Code:

ATTFilter

   smitRem log file
     version 2.3

     by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ShudderLTD key present! Running LTDFix!

ShudderLTD key was successfully removed! :)


 Pre-run Files Present


 ~~~ Program Files ~~~



 ~~~ Shortcuts ~~~

PSGuard spyware remover.lnk


 ~~~ Favorites ~~~



 ~~~ system32 folder ~~~

intell32.exe
oleext.dll
wppp.html
logfiles


 ~~~ Icons in System32 ~~~



 ~~~ Windows directory ~~~

uninstIU.exe


 ~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


   Post-run Files Present


 ~~~ Program Files ~~~



 ~~~ Shortcuts ~~~



 ~~~ Favorites ~~~



 ~~~ system32 folder ~~~

oleext.dll


 ~~~ Icons in System32 ~~~



 ~~~ Windows directory ~~~

uninstIU.exe


 ~~~ Drive root ~~~



 ~~~ Wininet.dll ~~~

wininet.dll INFECTED!! :( Starting replacement procedure.


~~~~ Looking for C:\WINNT\system32\dllcache\wininet.dll ~~~~


~~~~ C:\WINNT\system32\dllcache\wininet.dll Present! ~~~~


~~~~ Checking dllcache\wininet.dll for infection ~~~~


~~~~ dllcache\wininet.dll Clean! ~~~~

 ~~~ Replaced wininet.dll from dllcache ~~~



 ~~~ Upon reboot ~~~

wininet.old present!
oleadm.dll not present!
oleext.dll present!


 ~~~ Upon completion ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~~ Rechecking C:\WINNT\system32\wininet.dll for infection ~~~~


~~~~ C:\WINNT\system32\wininet.dll Clean! :) ~~~~

Habe ich jetzt noch irgendwas bei mir drauf?

heli2005 · 14.08.2005, 10:39

meiner meinung nach sieht der log wieder sauber aus
die R1 einträge könntest noch fixen

mukla · 14.08.2005, 10:45

Hallo, danke für die schnelle Hilfe.
Was meinst du mit R1 fixen ? Einfach löschen ?

heli2005 · 14.08.2005, 10:47

mit hilfe von hijackthis
markieren und fixen

Gigamail · 14.08.2005, 11:45

@ mukla

Zitat:

Zitat von mukla

Habe ich jetzt noch irgendwas bei mir drauf?

ich bin mir dabei nicht sicher denn dieser Eintrag

Zitat:

O4 - HKLM\..\Run: [EXPLORER] EXPL0RER.EXE

deutet auf einen Backdoor Trojaner hin.Siehe dazu hier Um absolute Sicherheit im System zu haben ist nur Neuaufsetzen die richtige Entscheidung.
Beende den Prozess im Taskmanager und lasse mal die Datei hier scannen und teile das Ergebnis mit, für die Aktion solltest du deinen Virenscanner deaktivieren

C:\WINNT\Explorer.EXE
es sind in deinem Taskmanager zwei gestartet, wenn du den verkehrten Prozess beendest verschwindet deine Taskleiste, gehe dann in den Taskmanager auf Anwendung --> neuer Task --> explorer (eingeben) --> <enter> dann sollte die Leiste wieder da sein

Trojaner, bitte um Hilfe

Log-Analyse und Auswertung: Trojaner, bitte um Hilfe