Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojan-spy.html.smitfraud.c

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 29.04.2005, 09:52   #1
low-tar
 
Trojan-spy.html.smitfraud.c - Standard

Trojan-spy.html.smitfraud.c



Hallo,


wenn mir bitte jemand helfen könnte.
Symptome:
blauer Bildschirm - "security warning - fatal error - trojan-spy.html.smitfraud.c"

bei Start des IE kommt als neue Startseite "CoolWebSearch mit http://81.222.131.49/index.php

Habe ein Logfile mit hjthis erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 09:46:08, on 29.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\ircomm2k.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\SXCPL.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINNT\system32\paytime.exe
C:\WINNT\system32\paytime.exe
C:\wp.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\PowerArchiver\POWERARC.EXE
C:\Programme\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.222.131.49/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php
F3 - REG:win.ini: load=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SXCPL] SXCPL.EXE
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [PayTime] C:\WINNT\system32\paytime.exe
O4 - HKCU\..\Run: [PayTime] C:\WINNT\system32\paytime.exe
O4 - HKCU\..\Run: [WindowsFY] C:\wp.exe
O4 - Global Startup: D-Link AirPlus.lnk = C:\Programme\D-Link AirPlus\AirPlus.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://www.anonymizer.com/anti-spyw...nner/WebAAS.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://intercall.webex.com/client/...bex/ieatgpc.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 10.10.1.99
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 10.10.1.99
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 10.10.1.99
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\ati2evxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINNT\system32\ircomm2k.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

Vorher habe ich bereits mit Ad-Aware gescannt und einige Dateien in Quarantäne gesteckt:
ArchiveData(Quarantäne.bckp)
Referencefile : SE1R41 25.04.2005
================================================== ====

ALEXA
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
obj[1]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "MenuText"
obj[2]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "MenuStatusBar"
obj[3]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "Script"
obj[4]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "clsid"
obj[5]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "Icon"
obj[6]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "HotIcon"
obj[7]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "ButtonText"
obj[8]=RegValue : S-1-5-21-1993962763-1563985344-1708537768-500\software\microsoft\internet explorer\extensions\cmdmapping "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"

TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[9]=IECache Entry : Cookie:administrator@adtech.de/
obj[10]=IECache Entry : Cookie:administrator@valueclick.com/
obj[11]=IECache Entry : Cookie:administrator@doubleclick.net/


Kann mir jemand empfehlen, wie ich den Trojaner und die blaue Mattscheibe wieder loskriege?

Danke + Gruß

Lothar

Alt 29.04.2005, 10:12   #2
felix1
/// Helfer-Team
 
Trojan-spy.html.smitfraud.c - Standard

Trojan-spy.html.smitfraud.c



Fixe im abgesichertem Modus mit HiJack:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.222.131.49/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php

Und dann:
Mache mal einen eScan und poste dann das Ergebnis hier.
http://www.trojaner-board.de/42731-escan-anleitung.html
__________________


Alt 29.04.2005, 11:07   #3
Sagamore
 
Trojan-spy.html.smitfraud.c - Standard

Trojan-spy.html.smitfraud.c



Den hatten wir in letzter Zeit öfter:

Das sagt Sophos dazu:
http://www.sophos.de/virusinfo/analy...jfakealea.html

Interessant ist vor allem die Registerkarte "Erweitert".


C:\wp.exe
O4 - HKCU\..\Run: [WindowsFY] C:\wp.exe
-> Die sind für deinen Hintergrund zuständig, also fixen und Datein löschen.

O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://intercall.webex.com/client/...bex/ieatgpc.cab
-> bitte auch fixen.


Du könntest dir auch mal folgende Threads zum Thema ansehen:
http://www.trojaner-board.de/showthread.php?t=16429
http://www.trojaner-board.de/showthread.php?t=16441
http://www.trojaner-board.de/showthread.php?t=16546
http://www.trojaner-board.de/showthread.php?t=17006
__________________
__________________

Alt 29.04.2005, 13:56   #4
low-tar
 
Trojan-spy.html.smitfraud.c - Standard

Trojan-spy.html.smitfraud.c



Gleich schon mal herzlichen Dank an Felix und Sagamore -

das fixen im abgesicherten Modus für die ungewünschte Startseite habe ich gemacht, beim Echtstart restaurieren die sich aber wieder.

Der escan ergab folgende Funde:

File C:\Programme\Windows Media Player\wmplayer.exe infected by "Trojan-Downloader.Win32.Small.arr" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\ieatgpc.dll infected by "not-a-virus:AdWare.WebEx.b" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\load.exe infected by "Trojan-Downloader.Win32.Small.vg" Virus. Action Taken: No Action Taken.
File C:\WINNT\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.
File C:\WINNT\ms4.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.

Welche Vorgehensweise empfehlt Ihr?
Im abgesicherten Modus die entsprechenden Dateien löschen?

Gruß

Lothar

Alt 29.04.2005, 15:02   #5
low-tar
 
Trojan-spy.html.smitfraud.c - Standard

Trojan-spy.html.smitfraud.c



Hallo,

noch eine Ergänzung -
mein Betriebssystem ist Windows 2000 Professional -
weiss nicht, ob das einen Unterschied bei der Reparatur macht.

Gruß

Lothar


Alt 29.04.2005, 15:09   #6
cronos
 
Trojan-spy.html.smitfraud.c - Standard

Trojan-spy.html.smitfraud.c



Poste auch mal den mal einen Auszug aus der mwav.log, Datei, der ungefähr so aussieht(befindet sich unten) :

Total Objects Scanned: xxxx
Total Virus(es) Found: x
Total Disinfected Files: x
Total Files Renamed: x
Total Deleted Objects: x
Total Errors: x
Time Elapsed: hh:mm:ss
Virus Database Date: yyyy/mm/dd
Virus Database Count: xxxxxxxxxx


Das dient nur dazu, um zu prüfen, ob Escan richtig ausgeführt wurde.

Lösche alle Funde von Escan im abgesicherten Modus und poste danach einen neuen Log, aber aus dem normalen Modus.

Edit:

Solltest du nicht alle Dateien finden:

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Einstellungen danach wieder rückgängig machen.
__________________
--> Trojan-spy.html.smitfraud.c

Geändert von cronos (29.04.2005 um 15:17 Uhr)

Antwort

Themen zu Trojan-spy.html.smitfraud.c
ad-aware, administrator, adobe, bho, bildschirm, dateien, error, explorer, fatal error, helfen, hijack, hijackthis, hotkey, internet, internet explorer, logfile, microsoft, neue, programme, quara, security, security warning, software, system, system32, temp, trojaner, warning, windows




Ähnliche Themen: Trojan-spy.html.smitfraud.c


  1. Trojan-spy.html.smitfraud.c
    Plagegeister aller Art und deren Bekämpfung - 03.02.2006 (16)
  2. trojan-spy.HTML.smitfraud.c
    Plagegeister aller Art und deren Bekämpfung - 27.09.2005 (13)
  3. Trojan-Spy.HTML.Smitfraud.c
    Log-Analyse und Auswertung - 10.09.2005 (15)
  4. Trojan-Spy.HTML.Smitfraud.c
    Log-Analyse und Auswertung - 01.07.2005 (6)
  5. PCGuard und Trojan-Spy.HTML.Smitfraud.c
    Plagegeister aller Art und deren Bekämpfung - 26.06.2005 (1)
  6. trojan-spy.html.smitfraud.c
    Plagegeister aller Art und deren Bekämpfung - 24.06.2005 (1)
  7. trojan-Spy.HTML.Smitfraud.c
    Plagegeister aller Art und deren Bekämpfung - 24.06.2005 (8)
  8. Trojan-spy.html.smitfraud remover
    Log-Analyse und Auswertung - 16.06.2005 (33)
  9. Trojan-Spy.HTML.Smitfraud.c !!!!HILFE!!!!
    Log-Analyse und Auswertung - 20.05.2005 (2)
  10. Trojan-Spy.HTML.Smitfraud.c - Windowsprobleme
    Plagegeister aller Art und deren Bekämpfung - 14.05.2005 (8)
  11. trojan-spy.html.smitfraud.c - hiJack this log
    Log-Analyse und Auswertung - 12.05.2005 (1)
  12. Trojan-Spy.HTML.Smitfraud.c
    Log-Analyse und Auswertung - 10.05.2005 (5)
  13. Hilfe Trojan-Spy.HTML.Smitfraud.c
    Plagegeister aller Art und deren Bekämpfung - 10.05.2005 (2)
  14. Trojan-Spy.HTML.Smitfraud.C
    Plagegeister aller Art und deren Bekämpfung - 08.05.2005 (8)
  15. Trojan-Spy.html.Smitfraud
    Log-Analyse und Auswertung - 26.04.2005 (5)
  16. Trojan-Spy.html.Smitfraud
    Mülltonne - 26.04.2005 (1)
  17. trojan-spy.html.smitfraud.c hilfe!
    Plagegeister aller Art und deren Bekämpfung - 18.04.2005 (10)

Zum Thema Trojan-spy.html.smitfraud.c - Hallo, wenn mir bitte jemand helfen könnte. Symptome: blauer Bildschirm - "security warning - fatal error - trojan-spy.html.smitfraud.c" bei Start des IE kommt als neue Startseite "CoolWebSearch mit http://81.222.131.49/index.php Habe - Trojan-spy.html.smitfraud.c...
Archiv
Du betrachtest: Trojan-spy.html.smitfraud.c auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.