Hallo,

ich habe seit gestern einen hartnäckigen Trojaner auf dem Rechner. In meiner Taskleiste, gibt es ein blinkendes Symbol, ein sog. "System Alert"Beim raufklicken werde ich stets auf eine Website eines "AntiVermins" Virenprogramms weitergeleitet (http://www.anti-vermins.com/?aff=334).


habe schon zig tools verwendet , auch schon das probiert:

http://www.trojaner-board.de/34709-system-alert-antivermins-problem.html

aber bei mir hilft das nicht.

dann poste ich mal das HiJack Log in der Hoffnung hier Hilfe zu bekommen

Logfile of HijackThis v1.99.1
Scan saved at 15:12:47, on 07.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\DfrgNtfs.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\meddelin\LOKALE~1\Temp\Rar$EX00.453\HijackThis.exe

O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\fdcatch.dll
O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\Programme\FreshDevices\FreshDownload\fdiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: FreshDownload - {7B3E03D4-47D4-4EF7-B22D-0338254AC458} - C:\Programme\FreshDevices\FreshDownload\fd.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168090115429
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: carbinyl - {8d8c2387-7f80-4022-9be6-43630a969558} - C:\WINDOWS\system32\gwquvw.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Hallo.

1.)

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\gwquvw.dll

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

2.)

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.

Hi Sunny,

danke für die antwort:

hier der output, was soll ich als nächstes machen?

Complete scanning result of "gwquvw.dll", received in VirusTotal at 01.07.2007, 15:41:43 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.07.2007 no virus found
Authentium 4.93.8 12.30.2006 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.06.2007 no virus found
BitDefender 7.2 01.07.2007 no virus found
CAT-QuickHeal 9.00 01.06.2007 no virus found
ClamAV devel-20060426 01.07.2007 no virus found
DrWeb 4.33 01.07.2007 Trojan.Fakealert.229
eSafe 7.0.14.0 01.07.2007 no virus found
eTrust-InoculateIT 23.73.107 01.06.2007 no virus found
eTrust-Vet 30.3.3307 01.06.2007 no virus found
Ewido 4.0 01.06.2007 no virus found
Fortinet 2.82.0.0 01.07.2007 no virus found
F-Prot 3.16f 01.05.2007 no virus found
F-Prot4 4.2.1.29 01.05.2007 no virus found
Ikarus T3.1.0.27 01.07.2007 no virus found
Kaspersky 4.0.2.24 01.07.2007 not-a-virus:FraudTool.Win32.WorldSecurityOnline.c
McAfee 4933 01.05.2007 FakeAlert-G
Microsoft 1.1904 01.07.2007 no virus found
NOD32v2 1960 01.06.2007 no virus found
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.07.2007 no virus found
Prevx1 V2 01.07.2007 Generic.Zlob!DL
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.145 01.07.2007 no virus found
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.1 01.07.2007 no virus found
VirusBuster 4.3.19:9 01.06.2007 no virus found

Aditional Information
File size: 20992 bytes
MD5: 75128e61b82c63deacd8f4975a3e1a99
SHA1: 0c91b00ab6a888030bcda451853b7d46e523de2b
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=d7ae68221394

Also wie ich schon geschrieben habe als nächstes das Ergebnis des eScans posten und danach diese Anleitung durchlesen und abarbeiten.

Anleitung zur Entfernung von Zlob alias Puper, Fakealert, Smitfraud

Gruß
Sunny

Sun Jan 07 16:05:05 2007 => Offending file found: C:\DOKUME~1\ALLUSE~1\STARTM~1\ONLINE~1.URL
Sun Jan 07 16:05:05 2007 => System found infected with smitfraud Browser Hijacker (online security guide.url)! Action taken: Entries Removed.
Sun Jan 07 16:05:05 2007 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: Entries Removed.

Sun Jan 07 16:05:05 2007 => Offending file found: C:\DOKUME~1\ALLUSE~1\STARTM~1\SECURI~1.URL
Sun Jan 07 16:05:05 2007 => System found infected with smitfraud Browser Hijacker (security troubleshooting.url)! Action taken: Entries Removed.
Sun Jan 07 16:05:05 2007 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: Entries Removed.

Na das sieht doch schon gut aus. :damuenhoc

Lade dir nun das Tool SmitfraudFix und starte in den abgesicherten Modus, starte dann das Programm gleich mit der Option 2 (Bereinigung!).

Danach das System neu starten und im Anschluss das Ergebnis des Reports posten.

Gruß
Sunny