Hallo

Ich habe, so wie mir gesagt wurde, die von euch hier angebotene Anleitung -Entfernung des Trojaners Smitfraud- befolgt um W32/Nsag.B zu entfernen.


Leider habe ich nicht so Ahnung, und würde mich über eine Durchsicht meines eScan-Logfile sehr freuen.

AntiVir hat vor der Anwendung der o.g. Anleitung noch folgendes gemeldet, ist dieser jetzt auch weg oder wie kann ich ihn entfernen.

C:\WINDOWS\SYSTEM32\CHECKIN.DLL

Ist das Trojanische Pferd TR/Dialer.KS.1



Hier meiner eScan-Log file:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Sep 09 22:40:44 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Fri Sep 09 22:41:00 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Fri Sep 09 23:13:10 2005 => Scanne Verzeichniss: C:\Programme\AVPersonal\INFECTED\*.*
Fri Sep 09 23:13:10 2005 => Scanne Datei C:\Programme\AVPersonal\INFECTED\netstat.VIR
Fri Sep 09 23:13:11 2005 => File C:\Programme\AVPersonal\INFECTED\netstat.VIR tagged as "not-a-virus:Porn-Dialer.Win32.RzDialer". Action Taken: No Action Taken.
Fri Sep 09 23:13:11 2005 => Scanne Datei C:\Programme\AVPersonal\INFECTED\VERIFIERBUG.CLASS-61506F4-4247E171.CLASS.VIR
Fri Sep 09 23:13:11 2005 => Datei C:\Programme\AVPersonal\INFECTED\VERIFIERBUG.CLASS-61506F4-4247E171.CLASS.VIR infiziert von "Exploit.Java.Bytverify" Virus. Aktion vorgenommen: No Action Taken.
Fri Sep 09 23:13:11 2005 => Scanne Datei C:\Programme\AVPersonal\INFECTED\WININET.DLL.VIR
Fri Sep 09 23:13:11 2005 => Datei C:\Programme\AVPersonal\INFECTED\WININET.DLL.VIR infiziert von "Virus.Win32.Nsag.b" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Sep 09 23:13:11 2005 => File C:\Programme\AVPersonal\INFECTED\netstat.VIR tagged as "not-a-virus:Porn-Dialer.Win32.RzDialer". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Für mehr Info`s hier mein Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 01:37:17, on 10.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\ati2evxx.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\Atiptaxx.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\microtech\Daten\BPServer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\EzButton V1.04\EzButton.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Medion\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Startup: COMsuite ALARM.LNK = C:\Programme\Auerswald\COMsuite\program\Auersalm.exe
O4 - Startup: EzButton.lnk = C:\Programme\EzButton V1.04\EzButton.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Büro Plus Server.lnk = C:\Programme\microtech\Daten\BPServer.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1125441366118
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: AUERSWALD UMS Server (telemat) - OSITRON Kommunikationstechnik GmbH - C:\PROGRAMME\GEMEINSAME DATEIEN\AUERSWALD\TELEMAT.EXE



Vielen Dank an alle.
Slivi

Hallo,

Zitat:

C:\WINDOWS\SYSTEM32\CHECKIN.DLL

Entferne diese Datei mit einer der aufgezählten Möglichkeiten aus dieser Anleitung und lösche ebenfalls diese Schlüssel aus der Registry (entweder manuell oder mit Hilfe von RegSeeker). Lösche den Inhalt dieses Ordners 'C:\Programme\AVPersonal\INFECTED' und leere anschließend den Papierkorb.

In deinem HJT Log-File kann ich keine weiteren Auffälligkeiten entdecken.

Delete:

Hatte mich verlesen!
Folge Cidres Post.

Hallo

Vielen Dank für die Antwort, leider funktioniert es nicht oder ich bin zu blöd.

Ich habe die Datei mit Total Commander gesucht, leider nicht gefunden.


Killbox sagt nach Eingabe von:
C:\WINDOWS\SYSTEM32\CHECKIN.DLL ---"Delete on reboot"
___PendingFile RenameOperations Registry Data has been Removed by External Process!___
Ist die Datei jetzt schon weg?

Leider finde ich auch unter dem Link "Schlüssel" keine Angaben die für mich klar zum löschen sind.
Sorry, vielleicht ist es ja ganz einfach, aber leider habe keine Anhnung und löschen in der Registry kann glaub ich auch schief gehen, wenn man das falsche löscht.

Über eine Antwort würde ich mich sehr freuen.
Vielen Dank im Voraus.

SLIVI