|
Log-Analyse und Auswertung: Trojan-spy.html.smitfraud.cWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.04.2005, 09:52 | #1 |
| Trojan-spy.html.smitfraud.c Hallo, wenn mir bitte jemand helfen könnte. Symptome: blauer Bildschirm - "security warning - fatal error - trojan-spy.html.smitfraud.c" bei Start des IE kommt als neue Startseite "CoolWebSearch mit http://81.222.131.49/index.php Habe ein Logfile mit hjthis erstellt: Logfile of HijackThis v1.99.1 Scan saved at 09:46:08, on 29.04.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\ircomm2k.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\SXCPL.EXE C:\WINNT\system32\Atiptaxx.exe C:\Programme\HP\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINNT\system32\paytime.exe C:\WINNT\system32\paytime.exe C:\wp.exe C:\Programme\D-Link AirPlus\AirPlus.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\PowerArchiver\POWERARC.EXE C:\Programme\PowerArchiver\POWERARC.EXE C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.222.131.49/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.222.131.49/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php F3 - REG:win.ini: load= O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SXCPL] SXCPL.EXE O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [WinVNC] "C:\Programme\ORL\VNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [PayTime] C:\WINNT\system32\paytime.exe O4 - HKCU\..\Run: [PayTime] C:\WINNT\system32\paytime.exe O4 - HKCU\..\Run: [WindowsFY] C:\wp.exe O4 - Global Startup: D-Link AirPlus.lnk = C:\Programme\D-Link AirPlus\AirPlus.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://www.anonymizer.com/anti-spyw...nner/WebAAS.cab O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://intercall.webex.com/client/...bex/ieatgpc.cab O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 10.10.1.99 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 10.10.1.99 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 10.10.1.99 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\ati2evxx.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINNT\system32\ircomm2k.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe Vorher habe ich bereits mit Ad-Aware gescannt und einige Dateien in Quarantäne gesteckt: ArchiveData(Quarantäne.bckp) Referencefile : SE1R41 25.04.2005 ================================================== ==== ALEXA »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[0]=Regkey : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} obj[1]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "MenuText" obj[2]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "MenuStatusBar" obj[3]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "Script" obj[4]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "clsid" obj[5]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "Icon" obj[6]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "HotIcon" obj[7]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "ButtonText" obj[8]=RegValue : S-1-5-21-1993962763-1563985344-1708537768-500\software\microsoft\internet explorer\extensions\cmdmapping "{c95fe080-8f5d-11d2-a20b-00aa003c157a}" TRACKING COOKIE »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[9]=IECache Entry : Cookie:administrator@adtech.de/ obj[10]=IECache Entry : Cookie:administrator@valueclick.com/ obj[11]=IECache Entry : Cookie:administrator@doubleclick.net/ Kann mir jemand empfehlen, wie ich den Trojaner und die blaue Mattscheibe wieder loskriege? Danke + Gruß Lothar |
29.04.2005, 10:12 | #2 |
/// Helfer-Team | Trojan-spy.html.smitfraud.c Fixe im abgesichertem Modus mit HiJack:
__________________R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.222.131.49/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.222.131.49/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php Und dann: Mache mal einen eScan und poste dann das Ergebnis hier. http://www.trojaner-board.de/42731-escan-anleitung.html |
29.04.2005, 11:07 | #3 |
| Trojan-spy.html.smitfraud.c Den hatten wir in letzter Zeit öfter:
__________________Das sagt Sophos dazu: http://www.sophos.de/virusinfo/analy...jfakealea.html Interessant ist vor allem die Registerkarte "Erweitert". C:\wp.exe O4 - HKCU\..\Run: [WindowsFY] C:\wp.exe -> Die sind für deinen Hintergrund zuständig, also fixen und Datein löschen. O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://intercall.webex.com/client/...bex/ieatgpc.cab -> bitte auch fixen. Du könntest dir auch mal folgende Threads zum Thema ansehen: http://www.trojaner-board.de/showthread.php?t=16429 http://www.trojaner-board.de/showthread.php?t=16441 http://www.trojaner-board.de/showthread.php?t=16546 http://www.trojaner-board.de/showthread.php?t=17006
__________________ |
29.04.2005, 13:56 | #4 |
| Trojan-spy.html.smitfraud.c Gleich schon mal herzlichen Dank an Felix und Sagamore - das fixen im abgesicherten Modus für die ungewünschte Startseite habe ich gemacht, beim Echtstart restaurieren die sich aber wieder. Der escan ergab folgende Funde: File C:\Programme\Windows Media Player\wmplayer.exe infected by "Trojan-Downloader.Win32.Small.arr" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\ieatgpc.dll infected by "not-a-virus:AdWare.WebEx.b" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\load.exe infected by "Trojan-Downloader.Win32.Small.vg" Virus. Action Taken: No Action Taken. File C:\WINNT\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken. File C:\WINNT\ms4.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken. Welche Vorgehensweise empfehlt Ihr? Im abgesicherten Modus die entsprechenden Dateien löschen? Gruß Lothar |
29.04.2005, 15:02 | #5 |
| Trojan-spy.html.smitfraud.c Hallo, noch eine Ergänzung - mein Betriebssystem ist Windows 2000 Professional - weiss nicht, ob das einen Unterschied bei der Reparatur macht. Gruß Lothar |
29.04.2005, 15:09 | #6 |
| Trojan-spy.html.smitfraud.c Poste auch mal den mal einen Auszug aus der mwav.log, Datei, der ungefähr so aussieht(befindet sich unten) : Total Objects Scanned: xxxx Total Virus(es) Found: x Total Disinfected Files: x Total Files Renamed: x Total Deleted Objects: x Total Errors: x Time Elapsed: hh:mm:ss Virus Database Date: yyyy/mm/dd Virus Database Count: xxxxxxxxxx Das dient nur dazu, um zu prüfen, ob Escan richtig ausgeführt wurde. Lösche alle Funde von Escan im abgesicherten Modus und poste danach einen neuen Log, aber aus dem normalen Modus. Edit: Solltest du nicht alle Dateien finden: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Einstellungen danach wieder rückgängig machen.
__________________ --> Trojan-spy.html.smitfraud.c Geändert von cronos (29.04.2005 um 15:17 Uhr) |
29.04.2005, 17:19 | #7 |
| Trojan-spy.html.smitfraud.c Danke Cronos, da habe ich für eine Weile Beschäftigung. Melde mich am Samstag wieder, wenn ich durch bin mit den Löscharbeiten und einem neuen Scan. Gruß Lothar |
29.04.2005, 17:22 | #8 |
| Trojan-spy.html.smitfraud.c Der Auszug aus der mwav. log wäre noch interessant. BTW: Warum meinst du solange dafür zu brauchen 5 Dateien zu löschen?
__________________ Only cronos endures |
30.04.2005, 07:41 | #9 |
| Trojan-spy.html.smitfraud.c Hallo, Cronos - Du hattest wohl schon richtig vermutet, daß mein log nicht alle Funde umfaßte. Habs dann beim Überprüfen gemerkt. Die Liste war deutlich länger. Die im Scan erkannten infizierten Dateien habe ich gelöscht, soweit ich sie finden konnte. Blauer Bildchirm und smitfraud - Meldung sind unverändert vorhanden. Der neue log aus dem normalen Modus ist anbei. Sat Apr 30 08:27:44 2005 => ***** Scanning complete. ***** Sat Apr 30 08:27:44 2005 => Total Objects Scanned: 24423 Sat Apr 30 08:27:44 2005 => Total Virus(es) Found: 3 Sat Apr 30 08:27:44 2005 => Total Disinfected Files: 0 Sat Apr 30 08:27:44 2005 => Total Files Renamed: 0 Sat Apr 30 08:27:44 2005 => Total Deleted Objects: 0 Sat Apr 30 08:27:44 2005 => Total Errors: 3 Sat Apr 30 08:27:44 2005 => Time Elapsed: 00:55:23 Sat Apr 30 08:27:44 2005 => Virus Database Date: 2005/04/28 Sat Apr 30 08:27:44 2005 => Virus Database Count: 127611 Sat Apr 30 08:27:44 2005 => Scan Completed. File System Found infected by "peopleonpage Spyware/Adware" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\ieatgpc.dll infected by "not-a-virus:AdWare.WebEx.b" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\load.exe infected by "Trojan-Downloader.Win32.Small.vg" Virus. Action Taken: No Action Taken. |
30.04.2005, 16:49 | #10 |
| Trojan-spy.html.smitfraud.c Kann mir jemand helfen, wie ich meinen Rechner wieder sauber bekomme? smitfraud und die 3 Viren unten. Danke im voraus |
30.04.2005, 16:54 | #11 | |
Administrator, a.D. | Trojan-spy.html.smitfraud.c @ low-tar Diesen Lösungsweg abarbeiten -> http://www.trojaner-board.de/showpos...9&postcount=51 Zitat:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK Navigiere im linken Fenster zum Ordner C:\WINDOWS\Downloaded Program Files und lösche (markieren -> F8 -> JA) die beanstandeten Dateien. |
01.05.2005, 13:02 | #12 |
| Trojan-spy.html.smitfraud.c Hallo - danke für diesen Tipp. Jetzt ist mein scan zwar sauber - aber der blaue Desktop mit der Smitfraud-Meldung ist unverändert da. Nachstehend der mvav scan: Sun May 01 13:48:34 2005 => ***** Scanning complete. ***** Sun May 01 13:48:34 2005 => Total Objects Scanned: 24436 Sun May 01 13:48:34 2005 => Total Virus(es) Found: 0 Sun May 01 13:48:34 2005 => Total Disinfected Files: 0 Sun May 01 13:48:34 2005 => Total Files Renamed: 0 Sun May 01 13:48:34 2005 => Total Deleted Objects: 0 Sun May 01 13:48:34 2005 => Total Errors: 3 Sun May 01 13:48:34 2005 => Time Elapsed: 01:01:34 Sun May 01 13:48:34 2005 => Virus Database Date: 2005/04/28 Sun May 01 13:48:34 2005 => Virus Database Count: 127611 Sun May 01 13:48:34 2005 => Scan Completed. Mein HijackThis logfile sieht jetzt wie folgt aus: Logfile of HijackThis v1.99.1 Scan saved at 14:00:38, on 01.05.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\ircomm2k.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\SXCPL.EXE C:\WINNT\system32\Atiptaxx.exe C:\Programme\HP\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\D-Link AirPlus\AirPlus.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\WINNT\msagent\AgentSvr.exe C:\Programme\PowerArchiver\POWERARC.EXE C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IE SP2 AddOn - {5886E988-6274-4CE5-8C66-A9D64FD5EA0D} - C:\WINNT\system32\spvej.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SXCPL] SXCPL.EXE O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - Global Startup: D-Link AirPlus.lnk = C:\Programme\D-Link AirPlus\AirPlus.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://www.anonymizer.com/anti-spywa...ner/WebAAS.cab O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://intercall.webex.com/client/v...ex/ieatgpc.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0BCF4D04-1CBC-416D-B6B4-558F5EBBFCF7}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{3A6442D9-4E1D-4010-8830-13134073231C}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 10.10.1.99 O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 10.10.1.99 O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 10.10.1.99 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\ati2evxx.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINNT\system32\ircomm2k.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe Kann mir jemand weiterhelfen? Danke im voraus + Gruß |
01.05.2005, 15:15 | #13 |
Administrator, a.D. | Trojan-spy.html.smitfraud.c Überprüfe mal folgendes: Unter Eigenschaften von Anzeige -> Desktop -> Desktop anpassen -> Web -> alle Haken entfernen bzw. löschen -> OK. |
01.05.2005, 17:32 | #14 |
| Trojan-spy.html.smitfraud.c sorry - jetzt komme ich nicht mit - wo ist der Einstieg in den Pfad "Anzeige" ?? bin da etwas hilflos. |
01.05.2005, 17:49 | #15 |
Administrator, a.D. | Trojan-spy.html.smitfraud.c Unter Systemsteuerung befindet sich die Anzeige und der Rest ist selbsterklärend. |
Themen zu Trojan-spy.html.smitfraud.c |
ad-aware, administrator, adobe, bho, bildschirm, dateien, error, explorer, fatal error, helfen, hijack, hijackthis, hotkey, internet, internet explorer, logfile, microsoft, neue, programme, quara, security, security warning, software, system, system32, temp, trojaner, warning, windows |