Trojaner Ncase A 2 und TR/Beloru

#1 Zuerst mal hallo an alle,
und gleich vorweg ich bin neu und eine Dusselkuh am PC.
Ich habe mir zig Trojanische Teile eingefangen. Hier habe ich mich zwar durchgelesen, ich versteh nur Bahnhof. Geht es denn nur mir so?
AntiVir findet die Trojaner, ich lösche sie dann, die kommen aber immer wieder.
Einmal heißt es:
C:\windows\gjmn.exe.tmp
C:\windows\spkf.exe.tmp
C:\windows\system32\fleok\ncmyb.dll.tmp
C:\KPOFAB.exe.tmp

ncase.a.2 oder beloru steht noch dabei.
Ich habe den cache geleert, ich habe die Dateien gelöscht und sofort den PC runtergefahren. Nix hilft, die kommen immer wieder.
Kann mir jemand in einfachen Worten erklären wie ich das wieder los werde?
Danke im Voraus und habt einen schönen Tag, Abend, Nacht
Gruß Petra

#2 1.)Deaktiviere mal die Systemwiederherstellung. (wenn du nicht weißt wie, dann guck mal bei Google.de)
2.)Starte deinen Rechner im Abgesicherten Modus.
3,)Scanne deinen Rechner.
4.)Freuen.

MFG
DAFRA

#3 Hallo Petra, zeig mal den Knaben, was Maedchen so alles schafft.....


Lade den HijackThis, scanne kopiere mit der linken Maustaste das Log und kopiere es dann hier ins Forum.
http://board.protecus.de/t9391.htm


Systemwiederherstellung abschalten
---------------------------------------------------------------------------
Die eigentliche nützliche Funktion der Systemwiederstellung unter Microsoft Windows ME/XP
ist nach einen Virenbefall geradezu eine Fussfalle.

Windows sichert nämlich die vermeintlich saubere und stabiles Windowsversion
inclusive des Virus brav in ein spezielles Verzeichnis mit dem Namen C:\_RESTORE.

Nachdem der Virenscanner den Rechner gesäubert hat, und dieser neu gestartet wird,
kopiert Windows nun den Virus wieder zurück in das eben gesäuberte Betriebssystem,
da es die Änderung durch den Virenscanner entdeckt und diesen "Fehler" ausgleichen will.

Der Virenscanner selber kann aber den Virus in diesem Sicherungsverzeichnis nicht löschen,
da Windows ihm den Zugriff verwehrt.

Ein Teufelskreislauf.

Hier hilft lediglich die Abschaltung der System-Wiederherstellerung .
Systemwiederherstelllung abschalten:
--------------------------------------




So deaktivieren Sie die Systemwiederherstellung in Windows XP

1. Klicken Sie auf "Start" > "Alle Programme" > "Zubehör" > "Windows-Explorer".
2. Klicken Sie mit der rechten Maustaste auf "Arbeitsplatz" und dann auf "Eigenschaften".
3. Klicken Sie auf die "Systemwiederherstellung".
4. Aktivieren Sie das Kontrollkästchen "Systemwiederherstellung deaktivieren" oder "Systemwiederherstellung auf allen Laufwerken deaktivieren"

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Auf der Site ist es sehr gut erklaert.

------------------------------------------------------------------------
Im abgesicherten Modus Mit dem Aniviren-Tool scannen:

Computer ausschalten----beim Hochfahren F8 druecken----dann die Option <abgesicherter Modus < waehlen.

scannen



Wenn System wieder sauber ist, starte es neu
und aktivieren danach falls gewünscht die Systemwiederherstellung wieder.

MfG
Sabina
----------------------------------------------------------------------------------
Dafra, warst schneller...Mist!!!
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Huhu wie scanne ich das Teil? :-))
Petra hilflos

#5 ist auf der Seite erklaert....scan druecken

Brauche das HijackThis -Log unbedingt, um zu sehen, ob C:\WINNT\SGUPW.EXE
auf dem Comp. ist.
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#6 aaahhh jetzt blick ich es :-), oh je meine Tochter könnte dies bestimmt besser :-)) Also und das andere Sabina muss ich jetzt machen?
Danke auch an Dafra


Logfile of HijackThis v1.97.7
Scan saved at 18:15:36, on 28.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Common files\updater\wupdater.exe
C:\WINDOWS\System32\SahAgent.exe
C:\windows\system32\msbb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
C:\Programme\VBouncer\VirtualBouncer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Petra\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\Run: [msbb] c:\windows\system32\msbb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Virtual Bouncer.lnk = C:\Programme\VBouncer\VirtualBouncer.exe
O4 - Global Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
O4 - Global Startup: Ulead Photo Express Calendar Checker für Meine Spezielle Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} (F1 Organizer Class) - http://www.addictivetechnologies.net/DM0/cab/t45sf.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37942.5116087963

#7 Glueckwunsch.............
Wir schauen es uns an und posten dir loesungen,

In der Zwischenzeit stellst du die Wiederherstellung ab und scannst mit dem Antivirentool im abgesicherten Modus...so wie ich erklaert habe.

Du schaffst das......
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Liebe Sabina,
Du bist sehr zuversichtlich, danke :-)
Nur ich habe das Betriebssystem XP home und finde schon mal das Registerkärtchen Leistungsmerkmale bei den Eigenschaften nicht.
Ist das systemabhängig?

Leider kann ich jetzt nicht dran bleiben, sobald ich wiede da bin werde ich es weiter versuchen.
Danke für das Verständnis (ich alte Frau *g*)

Gruß Petra (die hoffende)

#9 Fix mal folgendes:
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [msbb] c:\windows\system32\msbb.exe
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
MFG
DAFRA

#10 Zuallererst...die Wiederherstellung deaktivieren, wie oben erklaert.
----------------------------------------------------------------------------------------------------------
Bevor du folgendes mit dem HijackThis fixt , lade folgende Programme:

http://download.com.com/3000-8022-10214379.html?tag=lst-3-8 AdAware aktualisieren...

Von dieser Site laedst du den CWShredder:
http://board.protecus.de/t9373.htm

Das AntivirenTool http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm
(musst du dann suchen als mwav.exe )

Lade den ClearProg
http://www.clearprog.de/

----------------------------------------------------------------------------------------------------------------------------------
Mit dem HijackThis fixt (!) nicht scann du folgendes.
Wenn das erledigt ist, gehst du in den ABGESICHERTEN MODUS!!!! und scannst noch einmal mit dem Antiviren-Tool, mit dem AdAware, dem CShredder und dem mwav.


C:\WINDOWS\System32\SahAgent.exe
C:\Programme\Common files\updater\wupdater.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\windows\system32\msbb.exe

O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com

O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [msbb] c:\windows\system32\msbb.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab


Dann machst du den Comp. wieder aus und faehrst normal hoch ins Windows.
---------------------------------------------------------------------------------------------------
Dann saeuberst du mit dem Tool ClearProg den Browser und stellst unter Internet-Optionen die Startseite neu ein.

Dann laedst du den Firefox als Zeitbrowser...ist viel schneller und sicherer als der IE
http://www.firebird-browser.de/

---------------------------------------------------------------------------------------------------
Aetsch..Dafra...die Haelfte vergessen.....
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Die "O8" Eintraege gehoeren zur Google Toolbar, entweder alles rausnehmen( aber dann ueber Software/deinstallieren) oder drin lassen!

by the way: Apples Quicktime ist nicht "boese".
__________
MfG Ralf
SEO-Spam Hunter

#12 So hallo an alle,

vor allem an die Superhelfer :-)
Ich habe alles gemacht so wie Du es mir geschreiben hast Sabina.
Danke auch!!
Eine Frage hätte ich noch: Muss ich nun die Wiederherstellung aktivieren?

Meine Tochter lacht sich schon einen ab weil ich so unerfahren bin, aber helfen kann sie auch nicht :-)

Danke und Grüße
Petra

#13 Wenn alles sauber ist, kannst du die Wiederherstellung wieder aktivieren.
Glueckwunsch , dass alles geklappt hat!
Poste dein Log noch einmal.

Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#14

Zitat

Sabina postete
-------------------------
Aetsch..Dafra...die Haelfte vergessen.....
MfG
Sabina

@sabina
Aber sonst gehts dir noch ganz gut

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#15 Hallo Sabina,
ich poste es Dir heute Abend denn ich bin noch auf Arbeit.
Bis dann und habe einen schönen Tag.
LG Petra