Smitfraud

grindKerensky · 10.04.2005, 04:24

Code:

ATTFilter

Logfile of HijackThis v1.99.0
Scan saved at 05:13:32, on 10.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Zeugz\Toolz\D-Tools\daemon.exe
C:\Zeugz\Toolz\ANTIVI~1\ashDisp.exe
C:\Programme\Babylon\Babylon.exe
C:\Zeugz\Toolz\ICQPlus\vplus.exe
C:\Zeugz\Toolz\Antivir Avast4\aswUpdSv.exe
C:\Zeugz\Toolz\Antivir Avast4\ashServ.exe
C:\Zeugz\Toolz\Antivir Avast4\ashMaiSv.exe
C:\Zeugz\Progz\ICQ\Icq.exe
C:\Zeugz\Progz\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Kerensky\LOKALE~1\Temp\Rar$EX01.563\HijackThis.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Zeugz\Toolz\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [avast!] C:\Zeugz\Toolz\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ICQ Plus] "C:\Zeugz\Toolz\ICQPlus\vplus.exe"
O4 - HKCU\..\RunOnce: [ICQ] C:\Zeugz\Progz\ICQ\Icq.exe -trayboot
O8 - Extra context menu item: Download with GetRight - C:\Zeugz\Toolz\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Zeugz\Toolz\GetRight\GRbrowse.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1113074066921
O17 - HKLM\System\CCS\Services\Tcpip\..\{087FC4DD-D467-43DB-A312-43E2E627766A}: NameServer = 164.254.73.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E22471C-0A68-4B5B-949A-A49EA12D6968}: NameServer = 212.95.97.66 194.25.0.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA7B1F0F-4256-47FD-9DAD-86918F76236A}: NameServer = 212.95.97.66,194.125.0.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{087FC4DD-D467-43DB-A312-43E2E627766A}: NameServer = 164.254.73.15
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Zeugz\Toolz\Antivir Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Zeugz\Toolz\Antivir Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Zeugz\Toolz\Antivir Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Zeugz\Toolz\Antivir Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

der log wird nicht viel helfen...
der Trojaner Smitfraud is vom System runter zumindest die execute davon aber die Folgen sind noch zu sehen zB wie schon bei anderen hier geschildert wurde ... kann ich keine desktop bilder mehr einfügen oder die darstellung verändern, ich würd ma gern wissen wie ich das wieder herstellen kann, hab schon bei google gesucht aber nichts brauchbares gefunden scheint ein neuer virus zu sein irgendwie

grindKerensky · 10.04.2005, 04:51

ich hab vielleicht die lösung muss es aber noch testen ... also
hab in regedit geschaut was beim control Panel alles so ist und da ist ein schlüssel der heißt "HKEY_CURRENT_USER\Control Panel\IOProcs" in ihm befindet sich "MVB\mvfs32.dll" vielleicht ist diese datei für die sachen verantwortlich denn! ich hab nach ihr gesucht und sie nicht gefunden also

jeder der das problem hat bitte nach der datei suchen!
jeder der das problem nicht hat auch suchen

1. wenn die jenigen die den trj. hatten diese datei nicht mehr haben -> ist es wohl das
2. wenn die jenigen die den trj. hatten diese datei haben irre ich mich wohl

und 3. wenn beides passiert =>

chaosman · 10.04.2005, 11:04

@grindKerensky
ich hab vielleicht die lösung muss es aber noch testen ... also
hab in regedit geschaut was beim control Panel alles so ist und da ist ein schlüssel der heißt "HKEY_CURRENT_USER\Control Panel\IOProcs" in ihm befindet sich "MVB\mvfs32.dll" vielleichtist diese datei für die sachen verantwortlich denn! ich hab nach ihr gesucht und sie nicht gefunden also

mit regedit in der registrierung nachschauen ist eine sache,
etwas mit deine begründung zu löschen eine andere.
vorher erst mal eine sicherung durchführen, und jeweils nur eine änderung durchführen.

ich würde es an deiner stelle mit escan downloaden
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman

grindKerensky · 10.04.2005, 13:11

ich habe das teil nicht gelöscht, ich wollte erstmal wissen wer diese datei hat

1. wenn die jenigen die den trj. hatten diese datei nicht mehr haben -> ist es wohl das
2. wenn die jenigen die den trj. hatten diese datei haben irre ich mich wohl

und 3. wenn beides passiert =>

um erstmal zuwissen ob das teil überhaupt die ursache des ganzen ist

grindKerensky · 10.04.2005, 23:53

Zitat:

Zitat von chaosman

@grindKerensky
ich hab vielleicht die lösung muss es aber noch testen ... also
hab in regedit geschaut was beim control Panel alles so ist und da ist ein schlüssel der heißt "HKEY_CURRENT_USER\Control Panel\IOProcs" in ihm befindet sich "MVB\mvfs32.dll" vielleichtist diese datei für die sachen verantwortlich denn! ich hab nach ihr gesucht und sie nicht gefunden also

mit regedit in der registrierung nachschauen ist eine sache,
etwas mit deine begründung zu löschen eine andere.
vorher erst mal eine sicherung durchführen, und jeweils nur eine änderung durchführen.

ich würde es an deiner stelle mit escan downloaden
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman

habs durch laufen lassen der gesuchte war nicht darunter zufinden ... ausserdem der kram der infiziert ist ist weg ich brauch nur eine lösung zu diesem problem ! ich will endlich wieder meinen desktop haben!

Neospirit · 19.04.2005, 11:59

Habe das gleiche Problem...
Unter Systemsteuerung sind Reiter verschwunden!!!!???
Das habe ich noch nie gesehen...
Wie komme ich denn nun an die Einstellungen für den Desktop (...ohne den Reiter) ??
Im Netz ist wenig bis gar nichts darüber zu finden...
Wer weiß denn mal HILFE??

Neospirit · 21.04.2005, 15:14

So, habe vielleicht die Lösung, zumindest habe ich meine Reiter und den Desktop wieder...

Liegt an den veränderten Registereinträgen unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\

Die Einträge unter Explorer habe ich gelöscht und
die Einträge unter System mit Wert 1 (nicht mehr im DEFAULT!) auch.

Voher bitte ein Backup machen, das ist nämlich keine Garantie, aber wie gesagt klappt´s bei mir wieder...

Sh@d0wM@Zt@ · 26.04.2005, 13:00

Hey Leute!
Bin neu hier und in Sachen Viren und Trojanern ein waschechter Noob (ja sowas gibts auch noch

) Ich habe dasselbe Problem und... ich probier jetzt einfach mal eure Vorschläge weil sämtliche AV Programme nix gefunden (in bestimmten Fällen z.B. Spybot, der hat 2 Stk gefunden, kann sie aber nicht löschen) haben! An McAffe Stinger bin ich schon verzweifelt... naja! Ich versuchs mal!
Bis denne

Haui45 · 26.04.2005, 13:07

Hallo,
schau mal ob dir das weiterhilft (natürlich nur, wenn es sich um diesen Schädling handelt

)

Sh@d0wM@Zt@ · 26.04.2005, 17:29

Yeah!
Ich habs mit der Registry versucht und... es hat funktioniert :aplaus:
Aber zum Glück hab ich jetzt meinen Desktop wieder!!! Danke euch

Ich werd mich jetzt mal über Viren und Co. informieren um hier auch mal mitreden zu können ~~'
MfG,
Sh@d0wM@Zt@

Cidre · 26.04.2005, 17:50

Hallo,

Zitat:

Ich werd mich jetzt mal über Viren und Co. informieren um hier auch mal mitreden zu können ~~'

Das wäre wünschenswert...

BeLe · 06.12.2005, 23:06

Zitat:

kann ich keine desktop bilder mehr einfügen oder die darstellung verändern, ich würd ma gern wissen wie ich das wieder herstellen kann,

ich hatte diese problem auch, mein rechner sah aus wie ein NT system!
mit rechtsklick auf das desktop - Eigenschaften - Design und von "geändert" wieder auf "Windows XP" (oder was euch beliebt) einstellen, dann ist wieder alles ok

kann es sein das dies vom escan, spybot oder so umgestellt wird?

Smitfraud

Log-Analyse und Auswertung: Smitfraud

Smitfraud

Smitfraud

Smitfraud

Smitfraud

Smitfraud

Smitfraud

Smitfraud

Smitfraud

Smitfraud

Smitfraud

Smitfraud

Smitfraud

Ähnliche Themen: Smitfraud

10.04.2005, 13:11	#4
grindKerensky	Smitfraud ich habe das teil nicht gelöscht, ich wollte erstmal wissen wer diese datei hat 1. wenn die jenigen die den trj. hatten diese datei nicht mehr haben -> ist es wohl das 2. wenn die jenigen die den trj. hatten diese datei haben irre ich mich wohl und 3. wenn beides passiert => um erstmal zuwissen ob das teil überhaupt die ursache des ganzen ist

19.04.2005, 11:59	#6
Neospirit	Smitfraud Habe das gleiche Problem... Unter Systemsteuerung sind Reiter verschwunden!!!!??? Das habe ich noch nie gesehen... Wie komme ich denn nun an die Einstellungen für den Desktop (...ohne den Reiter) ?? Im Netz ist wenig bis gar nichts darüber zu finden... Wer weiß denn mal HILFE??

26.04.2005, 13:07	#9
Haui45	Smitfraud Hallo, schau mal ob dir das weiterhilft (natürlich nur, wenn es sich um diesen Schädling handelt )

26.04.2005, 17:29	#10
Sh@d0wM@Zt@	Smitfraud Yeah! Ich habs mit der Registry versucht und... es hat funktioniert :aplaus: Aber zum Glück hab ich jetzt meinen Desktop wieder!!! Danke euch Ich werd mich jetzt mal über Viren und Co. informieren um hier auch mal mitreden zu können ~~' MfG, Sh@d0wM@Zt@