Trojaner-Board - Mal ne wirklich böser Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Mal ne wirklich böser Trojaner (https://www.trojaner-board.de/7146-mal-ne-wirklich-boeser-trojaner.html)

Mal ne wirklich böser Trojaner

So,ich habs vor 2 Tagen geschafft mir nen wirklich beschissenen Trojaner einzufangen.
Ich habs zuerst dran gemerkt,dass 3 ustige Desktop Verknüpfungen zu Seiten auf meinen Desktop erschienen sind,die sich nicht löschen hatten können da sie sofort wieder aufgetaucht sind.
Sooo,sobald ich dann auf eine Website im www gehen wollte bin ich automatisch auf http://worldnetsearch.org/ gelandet wo versucht wurde mir noch mehr Trojaner drauf zu packen.
Naja zum glück sind die durch Avast! aufgehalten worden.
Ich hab schon Spybot,AdAware,a² und Avast! durchlaufen lassen nur mit dem Ergebnis,dass sie andere Trojaner efunden hatten,ihn aber nicht und mir geht es langsam auf den Geist,ich konnte es gerade irgendwie regulieren,indem ich meine IE Sicherheits einstellungen auf Hoch gesetzt habe,
aber trotzdem kann ich immernoch bestimmte Seiten nicht benutzen da ich dann sofort auf http://worldnetsearch.org/ komme.
Helft mir bitte ich würde mich wirklich drüber freuen!

Nunja vielleicht sollte ich nochmal sagen ob irgendwie ein Prozess da nicht hingehört.
Bei mir laufen wmiprvse.exe,nvsvc32mspoolsv,alg.exe,lsass.exewinlogon.exe,csrss.exe,smss.exe wo ich nicht wirklich weiß,ob sie dorthin gehören.
Thx for your help

Hallo,
verfolge bitte den Links unten an dieser Seite. Wenn es nicht hilft - poste hier HJT-Log (www.hijackthis.de)

Logfile of HijackThis v1.98.2
Scan saved at 12:17:39, on 27.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOOF\System32\smss.exe
C:\WINDOOF\system32\winlogon.exe
C:\WINDOOF\system32\services.exe
C:\WINDOOF\system32\lsass.exe
C:\WINDOOF\system32\svchost.exe
C:\WINDOOF\System32\svchost.exe
C:\WINDOOF\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOOF\System32\nvsvc32.exe
C:\WINDOOF\System32\svchost.exe
C:\WINDOOF\Explorer.EXE
C:\WINDOOF\Dit.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOOF\DitExp.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\FRED~1.BR-\LOKALE~1\Temp\Rar$EX00.063\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.worldnetsearch.org/
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.worldnetsearch.org/
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.worldnetsearch.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.worldnetsearch.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.worldnetsearch.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.worldnetsearch.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.worldnetsearch.org/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.worldnetsearch.org/start.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.worldnetsearch.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.worldnetsearch.org/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.worldnetsearch.org/start.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.worldnetsearch.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.worldnetsearch.org/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.worldnetsearch.org/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.worldnetsearch.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O1 - Hosts: auto.search.msn.com 127.0.0.1

so das problem ist,das ich sie fixen kann,aber sie danach wieder da sind!

Bei dem Log fehlt aber noch einiges? Extrahier HJT in einen eigenen Ordner und starte es von da. Deaktiviere die Systemwiederherstellung

http://www.systemwiederherstellung-d...indows-xp.html

fixe dann und starte neu, aktiviere die Systemwiederherstellung.

Befolge dies:

http://www.trojaner-board.de/42731-escan-anleitung.html

und poste dann ein neues, komplettes Logfile. Windowsupdate ist dein Freund, unbedingt die neuesten Sicherheitspatches aufspielen, zu einem alternativen Browser/mailprogramm wechseln (Opera,Firefox, foxmail) aktive Inhalte deaktivieren (Active-X, Java-Script) außer für definitiv sichere Seiten.

Pflichtlektüre für die Zukunft:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/

Zitat:

Zitat von MountainKing

so sry stimmt hier mein komplettes,aber windows systemwiederherstellung ist sowieso deaktiviert ;)

Logfile of HijackThis v1.98.2
Scan saved at 13:06:31, on 27.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOOF\System32\smss.exe
C:\WINDOOF\system32\winlogon.exe
C:\WINDOOF\system32\services.exe
C:\WINDOOF\system32\lsass.exe
C:\WINDOOF\system32\svchost.exe
C:\WINDOOF\System32\svchost.exe
C:\WINDOOF\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOOF\System32\nvsvc32.exe
C:\WINDOOF\System32\svchost.exe
C:\WINDOOF\Explorer.EXE
C:\WINDOOF\Dit.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOOF\DitExp.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Overnet\overnet.exe
D:\Frederic\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.worldnetsearch.org/
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.worldnetsearch.org/
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.worldnetsearch.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.worldnetsearch.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.worldnetsearch.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.worldnetsearch.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.worldnetsearch.org/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.worldnetsearch.org/start.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.worldnetsearch.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.worldnetsearch.org/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.worldnetsearch.org/start.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.worldnetsearch.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.worldnetsearch.org/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.worldnetsearch.org/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.worldnetsearch.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O1 - Hosts: auto.search.msn.com 127.0.0.1
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Search the web - {6234f700-cba3-4071-b251-47cb894244cd} - http://worldnetsearch.org/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Search the web - {6234f700-cba3-4071-b251-47cb894244cd} - http://worldnetsearch.org/ (file missing) (HKCU)
O9 - Extra button: Click me !!! - {7234f700-cba3-4071-b251-47cb894244cd} - http://5sec.biz/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Click me !!! - {7234f700-cba3-4071-b251-47cb894244cd} - http://5sec.biz/ (file missing) (HKCU)
O9 - Extra button: Forbidden Conversations - {8234f700-cba3-4071-b251-47cb894244cd} - http://forbiddenconversations.com/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Forbidden Conversations - {8234f700-cba3-4071-b251-47cb894244cd} - http://forbiddenconversations.com/ (file missing) (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O13 - DefaultPrefix: http://www.worldnetsearch.org/search.php?url=
O13 - WWW Prefix: http://www.worldnetsearch.org/search.php?url=
O13 - Home Prefix: http://www.worldnetsearch.org/search.php?url=
O13 - Mosaic Prefix: http://www.worldnetsearch.org/search.php?url=
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll

also ich glaube es liegt an nvsvc32.exe,sollte ich es löschen und wenn ja wie?

nvsvc32.exe gehört zu deiner Grafikkarte, kannst du deaktivieren wenn du willst, ist aber nicht die Ursache deines Problems.

Fixe:

alle R0 und R1-Einträge außer
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL

Fixe:
O1 - Hosts: auto.search.msn.com 127.0.0.1
O9 - Extra button: Search the web - {6234f700-cba3-4071-b251-47cb894244cd} - http://worldnetsearch.org/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Search the web - {6234f700-cba3-4071-b251-47cb894244cd} - http://worldnetsearch.org/ (file missing) (HKCU)
O9 - Extra button: Click me !!! - {7234f700-cba3-4071-b251-47cb894244cd} - http://5sec.biz/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Click me !!! - {7234f700-cba3-4071-b251-47cb894244cd} - http://5sec.biz/ (file missing) (HKCU)
O9 - Extra button: Forbidden Conversations - {8234f700-cba3-4071-b251-47cb894244cd} - http://forbiddenconversations.com/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Forbidden Conversations - {8234f700-cba3-4071-b251-47cb894244cd} - http://forbiddenconversations.com/ (file missing) (HKCU)
O13 - DefaultPrefix: http://www.worldnetsearch.org/search.php?url=
O13 - WWW Prefix: http://www.worldnetsearch.org/search.php?url=
O13 - Home Prefix: http://www.worldnetsearch.org/search.php?url=
O13 - Mosaic Prefix: http://www.worldnetsearch.org/search.php?url=

Befolge danach das:

http://www.trojaner-board.de/42731-escan-anleitung.html

und erstelle ein neues Logfile nach dem Reboot in den normalen Modus.