Hallo zusammen,

also, ich bin kein so großer Bastelfreak am PC und brauche mal Euere Hilfe.

Mein Freund hat seinen PC, ein ziemlich gutes Teil seit zwei Jahren auf dem Dachboden stehen weil er sich zwei Trojaner eingefangen hat, die damals Anfang 2005 keiner entfernen konnte, zumindestens nicht aus dem Bekanntenkreis.

Jetzt hab ich den PC mal in die gute Stube geholt und einen Scan gemacht.

Also defintiv drauf sind

TROJAN_SPY.HTML.SMITFRAUD.C

.... und der gute W32/NSAG.A

Habe mit AntiVir im abgesicherten Modus versucht, keine Chance.

So was tun, habe viel gelesen ... alles Posts von 2005 wo man manuell bzw. mit der Killbox zumindestens den Smitfraud entfernen kann.
Über den W32 gibt es nix detalliertes.

Also, gibt es Software dafür, die das macht??? Am besten etwas was wenig kostet oder besser noch umsonst???

Was kann ich tun ... bin wirklich Neuling unter den Trojaner-Jägern und ziemlich unbedarft, da ich meinen Rechner gegen so einen Mist gut geschützt habe.

Danke an alle, die mir helfen können.

Liebe Grüße

Kenai

Hallo,


Erstelle erstmal ein Hjt-Logfile

dannach kann ich dir sagen wie du vorgehen kannst.

Dachte ich mir schon!
Mache ich doch sofort!

So hat ein bisschen länger gedauert. Die Hilfmanschaft die zuerst am Rechner war, hat alles gelöscht was sich nicht schnell genug verstecken konnte. Also kein CD Brenner mehr, kein Drucker, nix ...
Also mußte ich erstmal 'ne Diskette suchen umd dieses Logfile auf meinen Rechner überspielen zu können.

Hier ist es, hab es hier reingestellt, damit es nicht aus dem Zusammenhang gerissen wird. Ist das okay??

Logfile of HijackThis v1.99.1
Scan saved at 22:18:48, on 11.07.2007
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\hookdump.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\msiexec.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\WINNT\system32\ntvdm.exe
C:\Programme\SpeedProject\SpeedCommander VI\SpeedCommander.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\System32\hp77DF.tmp (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINNT\System32\hookdump.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.netellicom.biz/index.html
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe


Das war es auch schon!

Danke!

Zitat:

Zitat von Kenai

Die Hilfmanschaft die zuerst am Rechner war, hat alles gelöscht was sich nicht schnell genug verstecken konnte. Also kein CD Brenner mehr, kein Drucker, nix ...

Eine ganz neue Definition von 'Hilfsmannschaft'...

Lade mal folgende Datei bei Virustotal.com hoch und lasse sie prüfen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINNT\System32\hookdump.exe
         

Bei Schädlingsfund, könntest Du erstmal versuchen über HJT > Config > Delete file on reboot diese Datei löschen zu lassen (alternativ kann die Platte auch in ein anderes System gehängt werden um die Datei von dort aus zu löschen).

Mach erstmal das und berichte (solltest Du einen Löschversuch unternommen haben mit einem neuen HJT-Log). Sollte Dir langweilig sein, kannst Du noch einen Scan mit eScan machen (Anleitung siehe FAQ-Sektion).

Zitat:

Zitat von MightyMarc

Eine ganz neue Definition von 'Hilfsmannschaft'...

Genau das habe ich eben auch gedacht.

@Kenai:
So geht man dabei gewiss nicht vor. "Mannschaft" deutet darauf hin, dass es mehrere Leute gewesen sind. Das bedeutet, dass es sicher für einen möglich gewesen wäre, eine Notfallstart-CD zu erstellen, z.B. so eine:
-> UBCD for Windows

... um dann von dieser aus zu starten, ohne wild und blindlings herumzufuhrwerken.

@MMK
Ne, so stell ich mir auch kein Hilfskommando vor, das war mehr ein Überfall. Nix dokumentiert, nur ein bisschen rumgestochert.

Und dann aufgeben und wieder heimgegangen. Ich kenn die Jungs ... schnell mit den Fingern auf der Tastatur und ganz langsam das Hirn eingeschaltet.

Und ich steh jetzt hier im Nebel!

@Marc
Ich werde die Exe runterladen und probieren und auch einen Escan machen, den habe ich schon drauf gespielt (das CD Laufwerk haben sie nicht abgeschossen). Aber erst morgen.

Soll ich es mal mit der Killbox versuchen, viel kaputt machen kann man ja nicht mehr?

Noch jemand Vorschläge?? Ich geh jetzt ins Bett mir brummt der Schädel und ich mag nimmer.

Also ich nochmal,

wenn ich jetzt eine zu überprüfende Datei wie z.B, "hockdump.exe" vom infizierten Rechner per Diskette runterhole und diese dann mittels meinen sauberen Rechners von virustotal.com überprüfen lasse, wie groß ist den die Gefahr das der sich dann auf meinen Rechner einnistet???

So, Escan gemacht und ... ne nicht nur zwei, sondern gleich eine ganze Truppe von Trojanern ... oder was auch immer.

Also gibt es ein Programm mit denen ich die entfernen kann???

Ich bitte inständig um Hilfe. Danke!!!

**********************************************************
Thu Jul 12 12:40:52 2007 => eScan AntiVirus Toolkit Utility.
Thu Jul 12 12:40:52 2007 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Thu Jul 12 12:40:52 2007 => **********************************************************
Thu Jul 12 12:40:52 2007 => Source: C:\Programme\escan\mwav.exe
Thu Jul 12 12:40:52 2007 => Version 9.3.1
Thu Jul 12 12:40:52 2007 => Protokolldatei: C:\DOKUME~1\****\LOKALE~1\Temp\MWAV.LOG
Thu Jul 12 12:40:52 2007 => Datum und Uhrzeit des letzten Scans: 12.07.2007 12:16:25
Thu Jul 12 12:40:52 2007 => MWAV Registered: FALSE.
Thu Jul 12 12:40:52 2007 => User Account: Olli
Thu Jul 12 12:40:52 2007 => OS Type: Windows Workstation
Thu Jul 12 12:40:52 2007 => OS: Windows 2000
Thu Jul 12 12:40:52 2007 => Ver: (Build 2195)
Thu Jul 12 12:40:52 2007 => Windows Root Folder: C:\WINNT
Thu Jul 12 12:40:52 2007 => Windows Sys32 Folder: C:\WINNT\System32
Thu Jul 12 12:40:52 2007 => DHCP NameServer: 192.168.2.1
Thu Jul 12 12:40:52 2007 => Interface0 DHCPNameServer: 192.168.2.1
Thu Jul 12 12:40:52 2007 => Local Fixed Drives: c:\,d:\
Thu Jul 12 12:40:52 2007 => MWAV Mode: Only Scan files.

*******************************************************************************
Thu Jul 12 12:48:02 2007 => Datei C:\WINNT\system32\WININET.DLL infiziert von "Virus.Win32.Nsag.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Thu Jul 12 12:48:07 2007 => ERROR!!! Invalid Entry = C:\WINNT\System32\hp77DF.tmp (in key Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}). No Action Taken.

Thu Jul 12 12:48:13 2007 => Datei C:\WINNT\System32\hookdump.exe infiziert von "Trojan.Win32.Agent.ep" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Thu Jul 12 12:48:29 2007 => System found infected with antivirusgold Spyware/Adware ({020b1227-417d-4682-9ac3-61f43cb5b6b1})! Action taken: Keine Aktion vorgenommen.
.
Thu Jul 12 12:48:30 2007 => System found infected with xp advanced keylogger Commercial KeyLogger ({70f17c8c-1744-41b6-9d07-575db448dcc5})! Action taken: Keine Aktion vorgenommen.
Thu Jul 12 12:48:32 2007 => Offending Key found: HKLM\Software\antivirusgold !!!
Thu Jul 12 12:48:32 2007 => Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Thu Jul 12 12:48:32 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\favorites\online pharmacy !!!

Thu Jul 12 12:48:32 2007 => Object "ezula Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Thu Jul 12 12:48:34 2007 => Offending file found: C:\WINNT\System32\date.ico
Thu Jul 12 12:48:34 2007 => System found infected with zlob Trojan-Downloader (date.ico)! Action taken: Keine Aktion vorgenommen.

Thu Jul 12 12:48:34 2007 => Offending file found: C:\WINNT\System32\hookdump.exe
Thu Jul 12 12:48:34 2007 => System found infected with smitfraud Browser Hijacker (hookdump.exe)! Action taken: Keine Aktion vorgenommen.


Thu Jul 12 12:49:11 2007 => Datei C:\WINNT\System32\hookdump.exe infiziert von "Trojan.Win32.Agent.ep" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Thu Jul 12 12:50:48 2007 => Datei C:\WINNT\Downloaded Program Files\index.html infiziert von "Exploit.VBS.Phel" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Thu Jul 12 12:58:00 2007 => Datei C:\WINNT\system32\hookdump.exe infiziert von "Trojan.Win32.Agent.ep" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Thu Jul 12 12:58:33 2007 => Datei C:\WINNT\system32\wininet.dll infiziert von "Virus.Win32.Nsag.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Hallo

ich weiß ja nich, aber macht das ganze hier noch Sinn ?

Zitat:

Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

MFG

Hey, ich sagte doch, vom Dachboden geholt, den Rechner! )

Aber ... Du hast Recht, ich setze ihn morgen neu auf, inklusive einer vorherigen gründlichen Formatierung.

Totzdem an alle die geantwortet haben.