Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus W32.NSAG.B...Bitte um Kontrolle des HJT-Logs (https://www.trojaner-board.de/23351-virus-w32-nsag-b-bitte-um-kontrolle-hjt-logs.html)

DJDynamite 05.11.2005 11:03

Virus W32.NSAG.B...Bitte um Kontrolle des HJT-Logs
 
Hi Leutz!

Also, hab auf nem Schleppi den o. a. Virus.
Hab jetzt grad HJT gemacht. Hoffe irgendwer kann sich die LOG mal anschaun.

Logfile of HijackThis v1.99.1
Scan saved at 10:51:47, on 05/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\1245240\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Acer\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Launch Manager\PowerKey.exe
C:\Programme\Acer\Launch Manager\HotkeyApp.exe
C:\Programme\Acer\Launch Manager\KeyHook.exe
C:\Programme\Acer\Launch Manager\CtrlVol.exe
C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\F-Secure Internet Security\backweb\1245240\Program\fspex.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Programme\IPPS\XM2002®\XM2002.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.quicksearch.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.t-mobile.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Acer\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Acer\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Acer\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [KeyHook] "C:\Programme\Acer\Launch Manager\KeyHook.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Acer\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [Connect Update Agent] "C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Microsoft System Backup] veacvk.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe -auto
O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c30 -w
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\RunServices: [Microsoft System Backup] veacvk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft System Backup] veacvk.exe
O4 - HKCU\..\RunServices: [Microsoft System Backup] veacvk.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

Danke jetzt schon mal für eure Hilfe.

so long...
DJ

Rene-gad 05.11.2005 11:30

@DJDynamite
Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Schon mal von SP2 gehört?
Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.quicksearch.com/
O4 - HKLM\..\Run: [Microsoft System Backup] veacvk.exe
O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c30 -w
O4 - HKLM\..\RunServices: [Microsoft System Backup] veacvk.exe
O4 - HKCU\..\Run: [Microsoft System Backup] veacvk.exe
O4 - HKCU\..\RunServices: [Microsoft System Backup] veacvk.exe
Versuche mal die Eintträge zu fixen und die Dateien im abgesicherten Modus zu löschen.
Meiner Meinung nach - besorge dir SP2 und setze das System komplett neu auf.

DJDynamite 05.11.2005 16:20

Ja hab ich, hab ich auch überall drauf bei mir, der Schleppi mit dem Problem gehört aber nicht mir sondern einem Kollegen. :crazy:

Danke mal für die Hilfe vorerst, was soll ich machen nachdem ich die Sachen gefixt und gelöscht habe?

wieder HJT posten?

so long...
DJ

Rene-gad 05.11.2005 17:00

@DJDynamite
Zitat:

was soll ich machen nachdem ich die Sachen gefixt und gelöscht habe?wieder HJT posten?
Du bist ein freier Mensch in einem demokratischen Land, ergo: tue, was du für richtig hältst.

DJDynamite 05.11.2005 17:02

Zitat:

Zitat von Rene-gad
Versuche mal die Eintträge zu fixen und die Dateien im abgesicherten Modus zu löschen. Meiner Meinung nach - besorge dir SP2 und setze das System komplett neu auf.

Meinst du die Einträge in der Registry oder?
veacvk.exe findet er nämlich als Datei nicht...

so long...
DJ

Haui45 05.11.2005 17:04

Zitat:

O4 - HKLM\..\Run: [Microsoft System Backup] veacvk.exe
Ist ein Bot -> http://www.sophos.com/virusinfo/anal...32rbotagm.html
Siehe dazu "Neuaufsetzen: Ja oder Nein?"

Rene-gad 05.11.2005 17:07

@DJDynamite
Zitat:

Meinst du die Einträge in der Registry oder? veacvk.exe findet er nämlich als Datei nicht...
Wundert es mich gar nicht, denn die Datei wechselt nach jedem Neustart ihren Name. Wenn du dich mit PC vertraut bist, tue bitte Folgendes:
1. Starte PC
2. Erstelle HJT-Log und gucke , wie heißen die Dateien bei [Microsoft System Backup] -Schlüssel stehen.
3. Beende den Dienst mit diesem Namen über Task-Manager und lösche die Datei - egal wie sie im Momen sich benennt.
4. Fixe die Reg-Schlüssel mit HJT.
PS: Neuaufsetzen halte ich doch für eine bessere Lösung.
EDIT: TNX an Haui45 ;)

DJDynamite 05.11.2005 18:14

Wenn ich die Reg-Schlüssel fixe und den Rechner im Abgesicherten Modus neu starte find ich die Einträge aber in der Registry, auch unter dem Namen, nur die Dateien sind nicht da.

Er schreit auch andauernd dass der Trojaner es sich in der Wininet.dll gemütlich gemacht hat.

so long...
DJ

Expert 05.11.2005 18:47

hey
#Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\Usename\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen

#Neue HijackThis Log und den Report des Ewido Scans,auch das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
expert

DJDynamite 06.11.2005 11:31

Smitrem is doch für Smitfraud C oder? Was hat das mit meinem Trojaner zu tun?

so long...
DJ

Rene-gad 06.11.2005 11:58

@DJDynamite,
du bist schon mit deinem Problem seit mehr als 2 Tagen unterwegs und es sieht nicht so aus, dass du es in Griff bekämest. Wenn du dich doch zum Neuafsetzen entschieden hättest, würdest du es in 3-4 Stunden gelöst haben, inklusive wiederherstellung der Benutzerdateien.

Expert 06.11.2005 11:58

Zitat:

Zitat von DJDynamite
Smitrem is doch für Smitfraud C oder? Was hat das mit meinem Trojaner zu tun?

so long...
DJ

Doch! W32.NSAG.B und Smitfraud sind indentich,gleiche Infektion

Gruss
Expert

Expert 06.11.2005 12:01

hey

#Diese Datei C:\Windows\system32\wininet.dll
Hier mal die datei überprüfen & Ergebnis posten
http://virusscan.jotti.org/de

Gruss
Expert

Expert 06.11.2005 12:05

Du hast eine Smitfraud Infektion,denke nicht,ob eine Neuinstallation notwendig ist!!

Gruss
Expert

Haui45 06.11.2005 12:17

Es handelt sich nicht nur um Smitfraud [1] und von daher kann ich mich Rene-gad nur anschließen.

[1] http://www.trojaner-board.de/showpos...38&postcount=6


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19