![]() |
Virus W32.NSAG.B...Bitte um Kontrolle des HJT-Logs Hi Leutz! Also, hab auf nem Schleppi den o. a. Virus. Hab jetzt grad HJT gemacht. Hoffe irgendwer kann sich die LOG mal anschaun. Logfile of HijackThis v1.99.1 Scan saved at 10:51:47, on 05/11/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure Internet Security\backweb\1245240\program\fsbwsys.exe C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe C:\Programme\F-Secure Internet Security\Common\FCH32.EXE C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE C:\Programme\F-Secure Internet Security\FSPC\fspc.exe C:\WINDOWS\Explorer.EXE C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\LTSMMSG.exe C:\Programme\Acer\Launch Manager\LaunchAp.exe C:\Programme\Acer\Launch Manager\PowerKey.exe C:\Programme\Acer\Launch Manager\HotkeyApp.exe C:\Programme\Acer\Launch Manager\KeyHook.exe C:\Programme\Acer\Launch Manager\CtrlVol.exe C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Programme\F-Secure Internet Security\Common\FSM32.EXE C:\Programme\F-Secure Internet Security\backweb\1245240\Program\fspex.exe C:\Programme\F-Secure Internet Security\FSGUI\fsguiexe.exe C:\Programme\IPPS\XM2002®\XM2002.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.quicksearch.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.acer.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.t-mobile.at/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll O4 - HKLM\..\Run: [LaunchApp] LaunApp O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Acer\Launch Manager\LaunchAp.exe" O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Acer\Launch Manager\PowerKey.exe" O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Acer\Launch Manager\HotkeyApp.exe" O4 - HKLM\..\Run: [KeyHook] "C:\Programme\Acer\Launch Manager\KeyHook.exe" O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Acer\Launch Manager\CtrlVol.exe" O4 - HKLM\..\Run: [Connect Update Agent] "C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [Microsoft System Backup] veacvk.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe -auto O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c30 -w O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe O4 - HKLM\..\RunServices: [Microsoft System Backup] veacvk.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft System Backup] veacvk.exe O4 - HKCU\..\RunServices: [Microsoft System Backup] veacvk.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll Danke jetzt schon mal für eure Hilfe. so long... DJ |
@DJDynamite Zitat:
Zitat:
Meiner Meinung nach - besorge dir SP2 und setze das System komplett neu auf. |
Ja hab ich, hab ich auch überall drauf bei mir, der Schleppi mit dem Problem gehört aber nicht mir sondern einem Kollegen. :crazy: Danke mal für die Hilfe vorerst, was soll ich machen nachdem ich die Sachen gefixt und gelöscht habe? wieder HJT posten? so long... DJ |
@DJDynamite Zitat:
|
Zitat:
veacvk.exe findet er nämlich als Datei nicht... so long... DJ |
Zitat:
Siehe dazu "Neuaufsetzen: Ja oder Nein?" |
@DJDynamite Zitat:
1. Starte PC 2. Erstelle HJT-Log und gucke , wie heißen die Dateien bei [Microsoft System Backup] -Schlüssel stehen. 3. Beende den Dienst mit diesem Namen über Task-Manager und lösche die Datei - egal wie sie im Momen sich benennt. 4. Fixe die Reg-Schlüssel mit HJT. PS: Neuaufsetzen halte ich doch für eine bessere Lösung. EDIT: TNX an Haui45 ;) |
Wenn ich die Reg-Schlüssel fixe und den Rechner im Abgesicherten Modus neu starte find ich die Einträge aber in der Registry, auch unter dem Namen, nur die Dateien sind nicht da. Er schreit auch andauernd dass der Trojaner es sich in der Wininet.dll gemütlich gemacht hat. so long... DJ |
hey #Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen. #Lade dir Ewido Security Suite unbeding Update,noch nicht scannen #lade Adaware, Spybot unbeding Update,noch nicht scannen. #PC neustarten--> abgesicherter Modus Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen. Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt #PC neustarten--> abgesicherter Modus #Starte Ewido Security Suite mach ein voller Scan (Complete System Scan) #Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen. #Inhalt folgende ordner loeschen: C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen C:\Dokumente und Einstellungen\Usename\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen C:\WINDOWS\temp---> Inhalt löschen #Neue HijackThis Log und den Report des Ewido Scans,auch das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten. Gruss expert |
Smitrem is doch für Smitfraud C oder? Was hat das mit meinem Trojaner zu tun? so long... DJ |
@DJDynamite, du bist schon mit deinem Problem seit mehr als 2 Tagen unterwegs und es sieht nicht so aus, dass du es in Griff bekämest. Wenn du dich doch zum Neuafsetzen entschieden hättest, würdest du es in 3-4 Stunden gelöst haben, inklusive wiederherstellung der Benutzerdateien. |
Zitat:
Gruss Expert |
hey #Diese Datei C:\Windows\system32\wininet.dll Hier mal die datei überprüfen & Ergebnis posten http://virusscan.jotti.org/de Gruss Expert |
Du hast eine Smitfraud Infektion,denke nicht,ob eine Neuinstallation notwendig ist!! Gruss Expert |
Es handelt sich nicht nur um Smitfraud [1] und von daher kann ich mich Rene-gad nur anschließen. [1] http://www.trojaner-board.de/showpos...38&postcount=6 |
Alle Zeitangaben in WEZ +1. Es ist jetzt 18:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board