Ich hatte mir den Trojaner smitfraud eingefangen und gemäß http://www.trojaner-board.de/showthread.php?t=21709 gehandelt, hier nun mein Logfile:


Logfile of HijackThis v1.99.0
Scan saved at 11:16:28, on 17.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\***\Desktop\Download\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.security2k.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.security2k.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://www.security2k.net/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Maus] C:\\Programme\\Microsoft Hardware\\Mouse\\point32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\Misc\Tools\GetRight\GRdownload.htm
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\Misc\Tools\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\Net\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\Net\ICQ\ICQ.exe
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Nach wie vor sind aber einige Prozesse (nvsc32.exe, devldr32.exe, services.exe, lsass.exe, csrss.exe, smss.exe, alg.exe) am laufen, die ich bisher nur bei Virenbefall (o.a.) gesehen habe. Wer kann mir weiterhelfen?

Die Logfiles von Smitrem und Escan wären zusätzlich interessant.

wie bekomme ich bei smitrem ein logfile? bei escan brauchst du sicherlich das virus log?!

Das Smitrem-Logfile findest du in folgendem Ordner:

C:\smitfiles.txt

Zum Escan Ergebnis:

Zitat:

Rechtsklick auf die diese Datei -> Ziel speichern unter… z.B. 'C:\Find.rar' -> 'Find.rar' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten

Escan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Datei C:\Programme\AVPersonal\INFECTED\msmsgs.VIR infiziert von "Trojan-Downloader.Win32.Small.bkg" Virus. Aktion vorgenommen: No Action Taken.
Sat Sep 17 14:11:50 2005 => File C:\DOKUME~1\JONASS~1\LOKALE~1\TEMPOR~1\Content.IE5\01YZ89QJ\get[1].php infected by "Trojan-Downloader.JS.IstBar.x" Virus! Action Taken: Keine Aktion vorgenommen.
Sat Sep 17 14:12:52 2005 => File C:\DOKUME~1\JONASS~1\LOKALE~1\TEMPOR~1\Content.IE5\0X2FOLMN\prompt[2].php infected by "Trojan-Downloader.JS.IstBar.k" Virus! Action Taken: Keine Aktion vorgenommen.
Sat Sep 17 14:13:16 2005 => File C:\DOKUME~1\JONASS~1\LOKALE~1\TEMPOR~1\Content.IE5\4DI7CXIF\loader7[1].htm infected by "Trojan-Downloader.VBS.Psyme.ap" Virus! Action Taken: Keine Aktion vorgenommen.
Sat Sep 17 14:17:14 2005 => File C:\DOKUME~1\JONASS~1\LOKALE~1\TEMPOR~1\Content.IE5\GLINKXUB\get[1].php infected by "Trojan-Downloader.JS.IstBar.x" Virus! Action Taken: Keine Aktion vorgenommen.
Sat Sep 17 14:19:13 2005 => File C:\DOKUME~1\JONASS~1\LOKALE~1\TEMPOR~1\Content.IE5\NAKBRT8P\x3[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: Keine Aktion vorgenommen.
Sat Sep 17 14:20:50 2005 => File C:\DOKUME~1\JONASS~1\LOKALE~1\TEMPOR~1\Content.IE5\U1WIFEZT\get[1].php infected by "Trojan-Downloader.JS.IstBar.x" Virus! Action Taken: Keine Aktion vorgenommen.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sat Sep 17 14:04:03 2005 => File C:\Dokumente und Einstellungen\js\Desktop\Download\Programme\mavirc11.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.601. No Action Taken.
Sat Sep 17 14:06:10 2005 => File C:\Dokumente und Einstellungen\js\Desktop\Half-Life CounterStrike\hltv.exe tagged as not-a-virus:Server-Proxy.Win32.Hltv. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sat Sep 17 13:37:14 2005 => Virus Database Date: 2005/09/16
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


smiterem:

smitRem log file
version 2.3

by noahdfear

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Post-run Files Present
~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Wininet.dll ~~~

CLEAN!

Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/
Leere den Quarantäne-Ordner Deines AV-Programmes.
Danach lade Dir die aktuelle Version von HJT, denn Deine ist veraltet. Anschliessend neues HJT-Log sowie neuer escan. Lösche vorher die Datei mwav.log im Verzeichnis C:\bases_x.

sorry, aber da habe ich lieber gleich formatiert :P

nur habe ich nach ungefähr 5h das ding schon wieder eingefangen!

wie kann ich mich effektiv davor schützen, ohne dass ich 20 unterschiedliche sicherheitsprogramme laufen hab?

Indem du nochmal neu formatierst und deinen PC vor der ersten Internetverbindung richtig absicherst.
Wie das genau funktioniert, wird hier beschrieben.
Wenn du Fragen dazu hast, kannst du sie gerne hier stellen.