Trojaner-Board - Trojaner, Add's und WinFixer

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner, Add's und WinFixer (https://www.trojaner-board.de/23324-trojaner-adds-winfixer.html)

Trojaner, Add's und WinFixer

:snyper: WOW, ich hasse all diese Viren, Trojaner, etc etc....

Habe dasselbe Problem wie die meisten anderen hier. Winfixer will sich ständig installieren, immer wieder Werbe-Pop-Up's , etc etc.... :headbang:

Wäre echt froh wenn sich mal jemand mein LogFile ansehen könnte. Hatte bereits mehrmals lines wie : O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB
mit Hijack fixen lassen, ist aber nach jedem booten wieder da....

DANKE für die Hilfe!

Logfile of HijackThis v1.99.1
Scan saved at 10:21:07, on 04.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Network Associates\Common Framework\FrameworkService.exe
D:\Programme\Network Associates\VirusScan\Mcshield.exe
D:\Programme\Network Associates\VirusScan\VsTskMgr.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\LVCOMSX.EXE
D:\Programme\Logitech\Video\LogiTray.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Java\jre1.5.0_04\bin\jusched.exe
D:\Programme\MaxiDSL\Dragdiag.exe
D:\Programme\Network Associates\VirusScan\SHSTAT.EXE
D:\Programme\Network Associates\Common Framework\UpdaterUI.exe
D:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
D:\Programme\QuickTime\qttask.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Medion\PowerCinema\My_TV\Agent.exe
D:\Programme\ISTsvc\istsvc.exe
D:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\Logitech\Video\FxSvr2.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sueddeutsche.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINDOWS\nem220.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - D:\WINDOWS\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - D:\Programme\SideFind\sfbho.dll (file missing)
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - D:\Programme\YourSiteBar\ysb.dll (file missing)
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Programme\MaxiDSL\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ShStatEXE] "D:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "D:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Agent] D:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [xA1jvydR] D:\WINDOWS\nrntiww.exe
O4 - HKLM\..\Run: [xA1jvþŠ.rÎi-ÿ*~ÐkbD:\Programme\ISTsvc\istsvc.exe] D:\WINDOWS\nrntiww.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] D:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = D:\Programme\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\programme\neoteris\secure application manager\gapsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\neoteris\secure application manager\gapsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\neoteris\secure application manager\gapsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\neoteris\secure application manager\gapsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\neoteris\secure application manager\gapsp.dll
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - h**p://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - h**p://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4CC35DAD-40EA-4640-ACC2-A1A3B6FB3E06} (NeoterisSetup Control) - h**ps://********/****-cached/setup/NeoterisSetup.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by102fd.bay102.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {7142BA01-8BDF-11CF-9E23-0000E8A37440} (Surround Video Control Object) - http://213.144.16.20/medici/bin/svideo.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - D:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - D:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - D:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

@Münchener
http://securityresponse.symantec.com/avcenter/venc/data/adware.netoptimizer.html
deinstalliere über systemsteuerung, software, YourSiteBar, SideFind, ISTsvc oder Istbar und alle dir unbekannte software

diese datei D:\WINDOWS\nrntiww.exe
hier überprüfen lassen
http://virusscan.jotti.org/de/
und das ergebnis posten

wechsle in den abgesicherten modus bei deaktivierter systemwiederherstellung
fixe mit HJT folgende einträge:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINDOWS\nem220.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - D:\WINDOWS\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - D:\Programme\SideFind\sfbho.dll (file missing)
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - D:\Programme\YourSiteBar\ysb.dll (file missing)
O4 - HKLM\..\Run: [xA1jvydR] D:\WINDOWS\nrntiww.exe
O4 - HKLM\..\Run: [xA1jvþŠ.rÎi-ÿ*~ÐkbD:\Programme\ISTsvc\istsvc.exe] D:\WINDOWS\nrntiww.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - h**p://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB

lösche danach manuell(wenn noch vorhanden):
D:\Programme\ISTsvc\istsvc.exe
D:\WINDOWS\nrntiww.exe
D:\WINDOWS\wsem303.dll
D:\WINDOWS\nem220.dll

neu booten, systemwiederherstellung aktivieren, neues HJT logfile posten

chaosman

Hi Chaosman,

danke für die Tips.....
1. Hab über Systemsteuerung entsprechende Programme gelöscht (teilweise war Re-Booten zwischendrin nötig)

2. Wollte nrntiww.exe entsprechend prüfen lassen, war eber unter dem Pfad nicht mehr vorhanden. Nach screen hab ich im Unterverzeichnis \Prefetch\ dann nrntiww.exe-0fcd8578.PF gefunden, und unter Deinem Link screenen lassen, ohne Befund ("OK")

3. Mit HJT die entsprechenden Zeilen gefixt, wobei bereits 5 Zeilen von vornherein nicht mehr vorhanden waren.

4. Manuell brauchte ich danach auch nichts mehr löschen, war alles weg...

5. Reboot und erneut HJT laufen lssen, anbei das Resultat:
Logfile of HijackThis v1.99.1
Scan saved at 12:37:18, on 05.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Network Associates\Common Framework\FrameworkService.exe
D:\Programme\Network Associates\VirusScan\Mcshield.exe
D:\Programme\Network Associates\VirusScan\VsTskMgr.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\userinit.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\LVCOMSX.EXE
D:\Programme\Logitech\Video\LogiTray.exe
D:\Dokumente und Einstellungen\Sven\Desktop\HijackThis.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Java\jre1.5.0_04\bin\jusched.exe
D:\Programme\MaxiDSL\Dragdiag.exe
D:\Programme\Network Associates\VirusScan\SHSTAT.EXE
D:\Programme\Network Associates\Common Framework\UpdaterUI.exe
D:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
D:\Programme\QuickTime\qttask.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Medion\PowerCinema\My_TV\Agent.exe
D:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
D:\Programme\Logitech\Video\FxSvr2.exe
D:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
D:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
D:\WINDOWS\system32\hpoipm07.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.sueddeutsche.de/
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Programme\MaxiDSL\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ShStatEXE] "D:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "D:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Agent] D:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] D:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = D:\Programme\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - h**p://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4CC35DAD-40EA-4640-ACC2-A1A3B6FB3E06} (NeoterisSetup Control) - https://*********/setup/NeoterisSetup.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://********.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {7142BA01-8BDF-11CF-9E23-0000E8A37440} (Surround Video Control Object) - http://*******/medici/bin/svideo.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://*******.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - D:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - D:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - D:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

Scheint tatsächlich i.O zu sein!

VIELEN DANK! :party: