|
Zwei alte Plagegeister und ich krieg sie nicht klein! Hallo zusammen, also, ich bin kein so großer Bastelfreak am PC und brauche mal Euere Hilfe. Mein Freund hat seinen PC, ein ziemlich gutes Teil seit zwei Jahren auf dem Dachboden stehen weil er sich zwei Trojaner eingefangen hat, die damals Anfang 2005 keiner entfernen konnte, zumindestens nicht aus dem Bekanntenkreis. Jetzt hab ich den PC mal in die gute Stube geholt und einen Scan gemacht. Also defintiv drauf sind TROJAN_SPY.HTML.SMITFRAUD.C .... und der gute W32/NSAG.A Habe mit AntiVir im abgesicherten Modus versucht, keine Chance. So was tun, habe viel gelesen ... alles Posts von 2005 wo man manuell bzw. mit der Killbox zumindestens den Smitfraud entfernen kann. Über den W32 gibt es nix detalliertes. Also, gibt es Software dafür, die das macht??? Am besten etwas was wenig kostet oder besser noch umsonst??? Was kann ich tun ... bin wirklich Neuling unter den Trojaner-Jägern und ziemlich unbedarft, da ich meinen Rechner gegen so einen Mist gut geschützt habe. Danke an alle, die mir helfen können. Liebe Grüße Kenai |
Hallo, Erstelle erstmal ein Hjt-Logfile dannach kann ich dir sagen wie du vorgehen kannst. |
Dachte ich mir schon! Mache ich doch sofort! |
So hat ein bisschen länger gedauert. Die Hilfmanschaft die zuerst am Rechner war, hat alles gelöscht was sich nicht schnell genug verstecken konnte. Also kein CD Brenner mehr, kein Drucker, nix ... Also mußte ich erstmal 'ne Diskette suchen umd dieses Logfile auf meinen Rechner überspielen zu können. Hier ist es, hab es hier reingestellt, damit es nicht aus dem Zusammenhang gerissen wird. Ist das okay?? Logfile of HijackThis v1.99.1 Scan saved at 22:18:48, on 11.07.2007 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINNT\System32\internat.exe C:\WINNT\System32\hookdump.exe C:\WINNT\explorer.exe C:\WINNT\system32\msiexec.exe C:\PROGRA~1\WINZIP\wzqkpick.exe C:\WINNT\system32\ntvdm.exe C:\Programme\SpeedProject\SpeedCommander VI\SpeedCommander.exe C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about: F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\System32\hp77DF.tmp (file missing) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Intel system tool] C:\WINNT\System32\hookdump.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.netellicom.biz/index.html O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe Das war es auch schon! Danke! |
Zitat:
Lade mal folgende Datei bei Virustotal.com hoch und lasse sie prüfen: Code: C:\WINNT\System32\hookdump.exeMach erstmal das und berichte (solltest Du einen Löschversuch unternommen haben mit einem neuen HJT-Log). Sollte Dir langweilig sein, kannst Du noch einen Scan mit eScan machen (Anleitung siehe FAQ-Sektion). |
Zitat:
@Kenai: So geht man dabei gewiss nicht vor. "Mannschaft" deutet darauf hin, dass es mehrere Leute gewesen sind. Das bedeutet, dass es sicher für einen möglich gewesen wäre, eine Notfallstart-CD zu erstellen, z.B. so eine: -> UBCD for Windows ... um dann von dieser aus zu starten, ohne wild und blindlings herumzufuhrwerken. |
@MMK Ne, so stell ich mir auch kein Hilfskommando vor, das war mehr ein Überfall. Nix dokumentiert, nur ein bisschen rumgestochert. Und dann aufgeben und wieder heimgegangen. Ich kenn die Jungs ... schnell mit den Fingern auf der Tastatur und ganz langsam das Hirn eingeschaltet. Und ich steh jetzt hier im Nebel! :kloppen: @Marc Ich werde die Exe runterladen und probieren und auch einen Escan machen, den habe ich schon drauf gespielt (das CD Laufwerk haben sie nicht abgeschossen). Aber erst morgen. Soll ich es mal mit der Killbox versuchen, viel kaputt machen kann man ja nicht mehr? Noch jemand Vorschläge?? Ich geh jetzt ins Bett mir brummt der Schädel und ich mag nimmer. |
Also ich nochmal, wenn ich jetzt eine zu überprüfende Datei wie z.B, "hockdump.exe" vom infizierten Rechner per Diskette runterhole und diese dann mittels meinen sauberen Rechners von virustotal.com überprüfen lasse, wie groß ist den die Gefahr das der sich dann auf meinen Rechner einnistet??? |
So, Escan gemacht und ... ne nicht nur zwei, sondern gleich eine ganze Truppe von Trojanern ... oder was auch immer. Also gibt es ein Programm mit denen ich die entfernen kann??? Ich bitte inständig um Hilfe. Danke!!! ********************************************************** Thu Jul 12 12:40:52 2007 => eScan AntiVirus Toolkit Utility. Thu Jul 12 12:40:52 2007 => Copyright © 2003-2006, MicroWorld Technologies Inc. Thu Jul 12 12:40:52 2007 => ********************************************************** Thu Jul 12 12:40:52 2007 => Source: C:\Programme\escan\mwav.exe Thu Jul 12 12:40:52 2007 => Version 9.3.1 Thu Jul 12 12:40:52 2007 => Protokolldatei: C:\DOKUME~1\****\LOKALE~1\Temp\MWAV.LOG Thu Jul 12 12:40:52 2007 => Datum und Uhrzeit des letzten Scans: 12.07.2007 12:16:25 Thu Jul 12 12:40:52 2007 => MWAV Registered: FALSE. Thu Jul 12 12:40:52 2007 => User Account: Olli Thu Jul 12 12:40:52 2007 => OS Type: Windows Workstation Thu Jul 12 12:40:52 2007 => OS: Windows 2000 Thu Jul 12 12:40:52 2007 => Ver: (Build 2195) Thu Jul 12 12:40:52 2007 => Windows Root Folder: C:\WINNT Thu Jul 12 12:40:52 2007 => Windows Sys32 Folder: C:\WINNT\System32 Thu Jul 12 12:40:52 2007 => DHCP NameServer: 192.168.2.1 Thu Jul 12 12:40:52 2007 => Interface0 DHCPNameServer: 192.168.2.1 Thu Jul 12 12:40:52 2007 => Local Fixed Drives: c:\,d:\ Thu Jul 12 12:40:52 2007 => MWAV Mode: Only Scan files. ******************************************************************************* Thu Jul 12 12:48:02 2007 => Datei C:\WINNT\system32\WININET.DLL infiziert von "Virus.Win32.Nsag.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Thu Jul 12 12:48:07 2007 => ERROR!!! Invalid Entry = C:\WINNT\System32\hp77DF.tmp (in key Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}). No Action Taken. Thu Jul 12 12:48:13 2007 => Datei C:\WINNT\System32\hookdump.exe infiziert von "Trojan.Win32.Agent.ep" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Thu Jul 12 12:48:29 2007 => System found infected with antivirusgold Spyware/Adware ({020b1227-417d-4682-9ac3-61f43cb5b6b1})! Action taken: Keine Aktion vorgenommen. . Thu Jul 12 12:48:30 2007 => System found infected with xp advanced keylogger Commercial KeyLogger ({70f17c8c-1744-41b6-9d07-575db448dcc5})! Action taken: Keine Aktion vorgenommen. Thu Jul 12 12:48:32 2007 => Offending Key found: HKLM\Software\antivirusgold !!! Thu Jul 12 12:48:32 2007 => Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Thu Jul 12 12:48:32 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\favorites\online pharmacy !!! Thu Jul 12 12:48:32 2007 => Object "ezula Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Thu Jul 12 12:48:34 2007 => Offending file found: C:\WINNT\System32\date.ico Thu Jul 12 12:48:34 2007 => System found infected with zlob Trojan-Downloader (date.ico)! Action taken: Keine Aktion vorgenommen. Thu Jul 12 12:48:34 2007 => Offending file found: C:\WINNT\System32\hookdump.exe Thu Jul 12 12:48:34 2007 => System found infected with smitfraud Browser Hijacker (hookdump.exe)! Action taken: Keine Aktion vorgenommen. Thu Jul 12 12:49:11 2007 => Datei C:\WINNT\System32\hookdump.exe infiziert von "Trojan.Win32.Agent.ep" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Thu Jul 12 12:50:48 2007 => Datei C:\WINNT\Downloaded Program Files\index.html infiziert von "Exploit.VBS.Phel" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Thu Jul 12 12:58:00 2007 => Datei C:\WINNT\system32\hookdump.exe infiziert von "Trojan.Win32.Agent.ep" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Thu Jul 12 12:58:33 2007 => Datei C:\WINNT\system32\wininet.dll infiziert von "Virus.Win32.Nsag.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. |
Hallo ich weiß ja nich, aber macht das ganze hier noch Sinn:confused: ? Zitat:
|
Hey, ich sagte doch, vom Dachboden geholt, den Rechner! :)) Aber ... Du hast Recht, ich setze ihn morgen neu auf, inklusive einer vorherigen gründlichen Formatierung. Totzdem an alle die geantwortet haben. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:11 Uhr. |
Copyright ©2000-2024, Trojaner-Board