Virus W32.NSAG.B...Bitte um Kontrolle des HJT-Logs
 

Hi Leutz!

Also, hab auf nem Schleppi den o. a. Virus.
Hab jetzt grad HJT gemacht. Hoffe irgendwer kann sich die LOG mal anschaun.

Logfile of HijackThis v1.99.1
Scan saved at 10:51:47, on 05/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\1245240\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Acer\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Launch Manager\PowerKey.exe
C:\Programme\Acer\Launch Manager\HotkeyApp.exe
C:\Programme\Acer\Launch Manager\KeyHook.exe
C:\Programme\Acer\Launch Manager\CtrlVol.exe
C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\F-Secure Internet Security\backweb\1245240\Program\fspex.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Programme\IPPS\XM2002®\XM2002.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.quicksearch.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.t-mobile.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Acer\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Acer\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Acer\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [KeyHook] "C:\Programme\Acer\Launch Manager\KeyHook.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Acer\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [Connect Update Agent] "C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Microsoft System Backup] veacvk.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe -auto
O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c30 -w
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\RunServices: [Microsoft System Backup] veacvk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft System Backup] veacvk.exe
O4 - HKCU\..\RunServices: [Microsoft System Backup] veacvk.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

Danke jetzt schon mal für eure Hilfe.

so long...
DJ

@DJDynamite
Schon mal von SP2 gehört?
Versuche mal die Eintträge zu fixen und die Dateien im abgesicherten Modus zu löschen.
Meiner Meinung nach - besorge dir SP2 und setze das System komplett neu auf.

Ja hab ich, hab ich auch überall drauf bei mir, der Schleppi mit dem Problem gehört aber nicht mir sondern einem Kollegen. :crazy:

Danke mal für die Hilfe vorerst, was soll ich machen nachdem ich die Sachen gefixt und gelöscht habe?

wieder HJT posten?

so long...
DJ

@DJDynamite
Du bist ein freier Mensch in einem demokratischen Land, ergo: tue, was du für richtig hältst.

Meinst du die Einträge in der Registry oder?
veacvk.exe findet er nämlich als Datei nicht...

so long...
DJ

Ist ein Bot -> http://www.sophos.com/virusinfo/anal...32rbotagm.html
Siehe dazu "Neuaufsetzen: Ja oder Nein?"

@DJDynamite
Wundert es mich gar nicht, denn die Datei wechselt nach jedem Neustart ihren Name. Wenn du dich mit PC vertraut bist, tue bitte Folgendes:
1. Starte PC
2. Erstelle HJT-Log und gucke , wie heißen die Dateien bei [Microsoft System Backup] -Schlüssel stehen.
3. Beende den Dienst mit diesem Namen über Task-Manager und lösche die Datei - egal wie sie im Momen sich benennt.
4. Fixe die Reg-Schlüssel mit HJT.
PS: Neuaufsetzen halte ich doch für eine bessere Lösung.
EDIT: TNX an Haui45 ;)

Wenn ich die Reg-Schlüssel fixe und den Rechner im Abgesicherten Modus neu starte find ich die Einträge aber in der Registry, auch unter dem Namen, nur die Dateien sind nicht da.

Er schreit auch andauernd dass der Trojaner es sich in der Wininet.dll gemütlich gemacht hat.

so long...
DJ

hey
#Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\Usename\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen

#Neue HijackThis Log und den Report des Ewido Scans,auch das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
expert

Smitrem is doch für Smitfraud C oder? Was hat das mit meinem Trojaner zu tun?

so long...
DJ

@DJDynamite,
du bist schon mit deinem Problem seit mehr als 2 Tagen unterwegs und es sieht nicht so aus, dass du es in Griff bekämest. Wenn du dich doch zum Neuafsetzen entschieden hättest, würdest du es in 3-4 Stunden gelöst haben, inklusive wiederherstellung der Benutzerdateien.

Doch! W32.NSAG.B und Smitfraud sind indentich,gleiche Infektion

Gruss
Expert

hey

#Diese Datei C:\Windows\system32\wininet.dll
Hier mal die datei überprüfen & Ergebnis posten
http://virusscan.jotti.org/de

Gruss
Expert

Du hast eine Smitfraud Infektion,denke nicht,ob eine Neuinstallation notwendig ist!!

Gruss
Expert

Es handelt sich nicht nur um Smitfraud [1] und von daher kann ich mich Rene-gad nur anschließen.

[1] http://www.trojaner-board.de/showpos...38&postcount=6