Hallo,
nachdem ich in der registry die policies, wie hier im Forum vorgeschlagen, bearbeitet und auch das blaue Warnbildchen gelöscht habe, scheint alles okay zu sein.
Wie erkenne ich aber, ob smitfraud im System noch weiter sein Unwesen treibt und meine TANs beim Online-Banking ausspioniert. Welche Spuren hinterlässt smitfraud?

Habe im F8-Modus mal eScan drüberlaufen lassen. Wäre dankbar wenn mir jemand das Ergebnis interpretieren kann.
Hier das eScan-Logfile:

Objects Scanned
Thu May 19 19:50:28 2005 => ***** Scanning complete. *****
Thu May 19 19:50:28 2005 => Total Objects Scanned: 63839
Thu May 19 19:50:28 2005 => Total Virus(es) Found: 38
Thu May 19 19:50:28 2005 => Total Disinfected Files: 0
Thu May 19 19:50:28 2005 => Total Files Renamed: 0
Thu May 19 19:50:28 2005 => Total Deleted Objects: 0
Thu May 19 19:50:28 2005 => Total Errors: 114
Thu May 19 19:50:28 2005 => Time Elapsed: 02:06:20
Thu May 19 19:50:28 2005 => Virus Database Date: 2005/05/16
Thu May 19 19:50:28 2005 => Virus Database Count: 130353

MWAV.LOG
Thu May 19 17:45:48 2005 => System found infected with SideFind
Spyware/Adware ({8cba1b49-8144-4721-a7b1-64c578c9eed7})! Action taken: No Action Taken.

Thu May 19 17:45:48 2005 => System found infected with SideFind Spyware/Adware ({58634367-d62b-4c2c-86be-5aac45cdb671})! Action taken: No Action Taken.

Thu May 19 17:45:48 2005 => System found infected with SideFind Spyware/Adware ({d0288a41-9855-4a9b-8316-babe243648da})! Action taken: No Action Taken.

Thu May 19 17:45:48 2005 => System found infected with SideFind Spyware/Adware ({339d8aff-0b42-4260-ad82-78ce605a9543})! Action taken: No Action Taken.

Thu May 19 17:45:48 2005 => System found infected with SideFind Spyware/Adware ({a36a5936-cfd9-4b41-86bd-319a1931887f})! Action taken: No Action Taken.

Thu May 19 17:45:48 2005 => System found infected with SideFind Spyware/Adware ({10e42047-deb9-4535-a118-b3f6ec39b807})! Action taken: No Action Taken.

Thu May 19 17:45:49 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.

Thu May 19 17:45:49 2005 => System found infected with CoolWebSearch Spyware/Adware ({0E1230F8-EA50-42A9-983C-D22ABC2EED3B})! Action taken: No Action Taken.

Thu May 19 17:47:28 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.

Thu May 19 17:48:16 2005 => File C:\WINDOWS\XMLLIBUI.exe infected by "Trojan.Win32.StartPage.yg" Virus! Action Taken: No Action Taken.

Thu May 19 18:38:07 2005 => Scanning Folder: C:\Programme\AntiVir\INFECTED\*.*

DANKE!
Wie kann ich diese Viren unschädlich machen? Mit eScan geht das ja nicht.

Bei deinen Problemen und um ganz sicher zu gehen würde ich dir dringend zum Neuinstallieren deines Systems raten. Das ist vielleicht einmal etwas Arbeit, dafür hast du dann anschließend länger Ruhe.

@bigsurfer
Danke für den Hinweis. Leider habe ich keine Boot-CD für Windows XP mehr, da gebraucht gekauft. Da wirds also mit C:-Formatierung schwierig.

Mich würde aber vielmehr interessieren: Wie erkenne ich denn ob smitfraud noch aktiv ist ???
Müsste doch irgendwelche Spuren oder Signaturen hinterlassen?

semperoni

Hallo,

Zitat:

Wie erkenne ich aber, ob smitfraud im System noch weiter sein Unwesen treibt und meine TANs beim Online-Banking ausspioniert.

Kann es sein, daß du Smitfraud mit den TrojanSpy.HTML.Bankfraud.u verwechselt?

Zitat:

Welche Spuren hinterlässt smitfraud?

Schau mal -> http://www.trojaner-board.de/showthread.php?t=17863

@cidre: Jetzt, wo du es sagst...;-)

Nach genauerer Recherche handelt es sich bei mir um Troj/FakeAle-C (aka. html.smitfraud.c)

Nun bräuchte ich Fachleute, die sich in der Registry auskennen. Denn ich habe vor folgende infizierte Reg-Einträge zu löschen.

Auf der Sophos-webseite findet sich dazu folgendes:
Troj/FakeAle-C nimmt folgende Änderungen an der Registrierung vor:
HKCR\CLSID\(145E6FB1-1256-44ED-A336-8BBA43373BE6)\
InprocServer32 =
<Pfad zum früheren Hintergrund>
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
NoActiveDesktopChanges =
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
NoDispAppearancePage =
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
NoDispBackgroundPage =
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
Wallpaper =
C:\WP.BMP
HKCU\Control Panel\Colors\
Background =
0 0 0
HKCU\Control Panel\Desktop\
Wallpaper =
C:\WP.BMP
HKCU\Control Panel\Desktop\
WallpaperStyle =
0
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\BlueScreen W@rning\
UninstallString =
<Pfad zum Trojaner> /UNINSTALL
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\BlueScreen W@rning\
Display Name =
<Pfad zum Trojaner> BlueScreen W@rning

Kann ich das alles löschen???
Grüße
semperoni

Zitat:

Zitat von Cidre

Hallo,




Schau mal -> http://www.trojaner-board.de/showthread.php?t=17863

Dann lies dir den Beitrag nochmal genau durch und arbeite die Vorschläge auch ab.

@cronos: Danke für den Hinweis.

Nur hilft mir das wenig, da "mein" smitfraud.c die von cronos beschriebenen Merkmale nicht aufweist. Weder finden sich bei mir besagte Programme (Security IGuard, Virtual Maid, Search Maid) noch besagte exe-Dateien.
?!
Deswegen auch meine Frage, woran ich erkenne dass er noch aktiv ist.
Habe schon umfangreich in der Registry aufgeräumt. Vielleicht wurde er dadurch schon gekillt.

semperoni

Da antworte ich mir halt mal selbst ;-)

Html.smitfraud.c scheint tatsächlich eliminiert zu sein.
Zumindestens bemerke ich keine Beeinträchtigungen mehr.
Das Aufräumen der Registry und der Einsatz von e-scan scheinen ein guter Weg zu sein.

Falls sich jetzt Formatierungs-Puristen melden und prophezeien, dass "der Trojaner in den Tiefen des Systems noch aktiv ist", so mögen mir diese bitte mitteilen, woran ich das sehen könnte. Denn nur auf Verdacht hin lohnt sich der Aufwand einer Neuformatierung nicht.

semperoni