Nach Trojaner komme ich nimmer ins Internet

#0
01.11.2005, 10:37
...neu hier

Beiträge: 4
#1 Hallo,

ich habe gestern gegen böse Trojaner gekämpft:
Trojan-Clicker.Win32.Small.di
Trojan-Downloader.BAT.Ftp.ae
Trojan-Downloader.JS.Small.af
Backdoor.Win32.IRCBot.az
Backdoor.Win32.SdBot.lt

F-Secure (auf dem PC installiert) findet nun nichts mehr.

Ins Internt komme ich aber nun nicht mehr. Das LAN-Kabel ist eingesteckt, es findet auch ein Datentransfer statt, aber der Internet-Explorer möchte immer auf den Smart-Surfer zugreifen. Verbindungsoption: DFÜ nur wenn keine Netzwerkverbindung verfügbar ist.

Hoffe es hat wer eine Idee, danke schon mal

LILE

hier das log-file:

Logfile of HijackThis v1.99.1
Scan saved at 10:21:54, on 01.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
D:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smartsurfer.web.de/client/redirect
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115237676885
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - file://I:\ols\cd-db\fscax.cab
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F80-00104B107C96}
O23 - Service: F-Secure Internet Security 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Seitenanfang Seitenende
01.11.2005, 11:46
Moderator

Beiträge: 7804
#2 Nutze lspfix um den "O10"er eintrag zu fixen.
http://virus-protect.org/lspfix.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
01.11.2005, 11:59
...neu hier

Themenstarter

Beiträge: 4
#3

Zitat

raman postete
Nutze lspfix um den "O10"er eintrag zu fixen.
http://virus-protect.org/lspfix.html
okay, danke erstmal
Also das Programm spricht englisch und ich bin nicht sicher ob ich das richtig verstehe.

bei keep stehen:
mswsock.dll
winrnr.dll
rsvpsp.dll

Bei remove stehen:
winsflt.dll

was nun?
soll ich die winsflt.dll auf die keepseite rüberbrigen? oder was?

Sorry, aber ich verstehe das nicht so recht :-(

LILE
Seitenanfang Seitenende
01.11.2005, 12:20
Moderator

Beiträge: 7804
#4 Nein winsflt.dll muss bei remove(loeschen) stehen. das andere bei keep(behalten). Da ist richtig, so verschwindet der 10er Eintrag bi Hijackthis und dder Internetzugang sollte wieder normal funktionieren.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
01.11.2005, 12:27
...neu hier

Themenstarter

Beiträge: 4
#5

Zitat

raman postete
.....der Internetzugang sollte wieder normal funktionieren.
AAAAAHHHHHHHH, danke dir.
Der IE bringt zwar noch die Meldung, dass die Seite offline ned verfügbar sei, aber wenn ich auf 'Verbinden' klicke, verbindet er :-)

Hast ein Bier (oder auch zwei) gut, wenn du mal in KA bist!!!

Hat der Trojander diesen Eintrag bei 10 verursacht???

Grüßle
LILE
Seitenanfang Seitenende
01.11.2005, 12:32
Moderator

Beiträge: 7804
#6 Schoen!;) Ja, der Trojaner hat sich da eingeklinkt, als die Dati geloescht wurde ist noch der Verweis auf die Datei uebrig geblieben und darum hing der Internetzugang.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
01.11.2005, 12:39
...neu hier

Themenstarter

Beiträge: 4
#7 nochmals danke :-)

Versuche nun sämtliche unterlassenen Systemupdates (plus SP2) usw. drauf zu bringen, die Systemwiederherstellung wieder zu aktivieren und dann lass ich ihn wieder in seine Familie zurück, wo er sich wieder auf etwas gefasst machen kann ;-)

Schönen ersten November noch ... bei mir isses Feiertag (vom PC-Gedöns mal abgesehen)

LILE
Seitenanfang Seitenende