Ich möchte euch noch um diese Zeit auf mein Problem vorbereiten.

Habe vor ungefähr 90 min mit nem netten Trojaner Bekanntschafft gemacht.

Ich war gerade am BF2 installieren und hab nach websearchnetwork gegoogelt, das sich seit ner Woche ungefähr immer wieder als Startseite im INet Explorer eingeschlichen hat.

Ich hatte dann den PS Guard drauf und der Desktophintergrund wurde durch blauen hintergrund mit der Meldung :

Security Warning

A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) +
00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c

Scan your PC with any available antivirus / spyware remover
program to fix the problem.


Noch nie von sowas betroffen bin ich etwas überfordert und auch die Lösungansätze hier im Forum find ich recht kompliziert. Aber da muss ich wohl durch. Momentan kann ich Programme nur mit dem Task Manager öffnen. und das Navigieren im System ist mühsam. Nach Neustart bekam ich auch die Explorer Fehlermeldung.
Es wäre sehr schön, wenn sich jemand meinem Problem annehmen könnte und auf meinen mangelnden Sachverstand was die Problematik betrifft Rücksicht nimmt. Ich werde jetzt erstmal schlafen gehen. Hab morgen Spätdienst und checke vorher nochmal den Thread. werde aber erst morgen abend richtig loslegen können.

Hier schonmal das HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 04:04:10, on 24.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Temp\Escan\mwav\mwavscan.com
C:\Temp\Escan\mwav\kavss.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\Temp\Hijack this\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\pumba2.dll
O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - h**p://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118877767125
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
h**p://w*w.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{816DD66A-AABA-4846-9638-9F1C9A16D186}: NameServer = 192.168.0.200
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Das Log von Escan ist ja elendig lang.

Escan hat drei Viren gefunden

Ich glaub die entscheidenden Passagen aus dem Log sind diese hier:

Fri Jun 24 03:36:02 2005 => Scanning File C:\WINDOWS\pumba2.dll
Fri Jun 24 03:36:18 2005 => File C:\WINDOWS\pumba2.dll tagged as "not-a-virus:AdWare.ToolBar.Azesearch.d". Action Taken: No Action Taken.

Fri Jun 24 03:36:18 2005 => Scanning File c:\programme\google\googletoolbar2.dll

Fri Jun 24 03:36:18 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects
Fri Jun 24 03:36:18 2005 => {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
Fri Jun 24 03:36:18 2005 => Scanning File C:\PROGRA~1\Adobe\ACROBA~1.0\ActiveX\ACROIE~1.DLL
Fri Jun 24 03:36:18 2005 => {53707962-6F74-2D53-2644-206D7942484F} = C:\PROGRA~1\SPYBOT~1\SDHelper.dll
Fri Jun 24 03:36:18 2005 => Scanning File C:\PROGRA~1\SPYBOT~1\SDHelper.dll
Fri Jun 24 03:36:19 2005 => {AA58ED58-01DD-4d91-8333-CF10577473F7} = c:\programme\google\googletoolbar2.dll
Fri Jun 24 03:36:19 2005 => Scanning File c:\programme\google\googletoolbar2.dll
Fri Jun 24 03:36:19 2005 => {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} = C:\WINDOWS\pumba2.dll
Fri Jun 24 03:36:19 2005 => Scanning File C:\WINDOWS\pumba2.dll
Fri Jun 24 03:36:19 2005 => {f65b197f-8260-4d52-909a-f70118e646eb} = C:\WINDOWS\system32\iasada.dll
Fri Jun 24 03:36:19 2005 => Scanning File C:\WINDOWS\system32\iasada.dll
Fri Jun 24 03:36:19 2005 => File C:\WINDOWS\system32\iasada.dll tagged as "not-a-virus:AdWare.ToolBar.Azesearch.b". Action Taken: No Action Taken.

Fri Jun 24 03:36:35 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD

Fri Jun 24 03:36:35 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Fri Jun 24 03:36:56 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Fri Jun 24 03:36:56 2005 => Object "CWS.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.


Fri Jun 24 03:36:57 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Fri Jun 24 03:37:21 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.

Fri Jun 24 03:37:24 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.

Fri Jun 24 03:37:55 2005 => Entry "HKCR\Ulead.VOE.1" refers to invalid object "{6C91BBFD-0781-4936-A3DC-10D60BA3294D}

". Action Taken: No Action Taken.
Fri Jun 24 03:36:35 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Fri Jun 24 03:36:56 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Fri Jun 24 03:36:56 2005 => Object "CWS.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.


Fri Jun 24 03:36:57 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Fri Jun 24 03:37:21 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.

Fri Jun 24 03:37:24 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.

Fri Jun 24 03:37:55 2005 => Entry "HKCR\Ulead.VOE.1" refers to invalid object "{6C91BBFD-0781-4936-A3DC-10D60BA3294D}

". Action Taken: No Action Taken.


PSGuard hab ich im abgesicherten Modus über Systemsteuerung>Software gelöscht.
Fri Jun 24 03:36:25 2005 => ERROR!!! Invalid Entry PSGuard = C:\Programme\PSGuard\PSGuard.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.

Das ist mit sicher heit schon wieder das falsche gepostet. Seht es mir nach es ist arg spät und ich bange um mein noch recht frisches Sytem. Der Panda online Check hatte übrigens nichts gefunden

also zuerst solltest du den smitfraud.c wie in dieser Anleitung beschrieben entfernen.
-wechsel in den abgesicherten modus
-fixe mit HijackThis diese einträge:
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\pumba2.dll
O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba2.dll
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll

-lösche diese dateien:
datei pumba2.dll im ordner c:\windows
datei iasada.dll im ordner c:\windows\system32
datei waol.exe im ordner c:\windows oder c:\windows\system32
-durchnavigieren durch HKEY_CURRENT_USER\CLSID\
-lösche die schlüssel
{88E729D6-BDC1-11D1-BD2A-00C04FB9603F} und {B0693766-5278-4ec6-B9E1-3CE40560EF5A}

-normaler modus
neues HJT Logfile posten

Hallo.

Ich habe die Anleitung zum Entfernen von Smitfraud genau befolgt.

Jedoch war auf meinem Rechner keiner der Ordner oder Dateien, die ich deinstallieren oder mit Killbox löschen sollte falls vorhanden. Auch nicht als Prozesse aktiv.

Ich bin die Anleitung trotzdem zweimal durchgegangen und habe anschliessend auch die Anweisungen von Chris 14 erfolgreich befolgt.
Nur der CLSID war dort nicht vorhanden wie beschrieben.

Momentan sieht es so aus, dass der Blaue Bildschirm mit der Meldung noch immer im normalen Modus an ist und ich dort nichts mehr arbeiten kann. Selbst der Task Manager lässt sich nicht mehr starten und wenn zufälligerweise doch, bekomme ich von dort 3-4 sekunden später "keine Rückmeldung" angezeigt.

Veränderungen kann ich also nur im abgesicherten Modus vornehmen. Deshalb hab ich auch dieses HijackThis Logfile im abgesicherten Modus erstellen lassen (ist aktuell).

Logfile of HijackThis v1.99.1
Scan saved at 12:15:53, on 25.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Temp\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Kaspersky Anti-Virus 2006] C:\Programme\Kaspersky Lab\AVP6\avp.exe
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-J3DO7.exe" /REG
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - h**p://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118877767125
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://w*w.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{816DD66A-AABA-4846-9638-9F1C9A16D186}: NameServer = 192.168.0.200
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVP - Kaspersky Lab - C:\Programme\Kaspersky Lab\AVP6\avp.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


-Escan findet keine Viren mehr. nur noch einige Errors und eine Datei ohne Angabe, wo sie sich befinden soll. Die heisst wcs.therealnetwork.

-Stinger findet nichts mehr

-Antivir findet nichts mehr

-Spybot findet irgendwas mit ...exploid. Sagt mir dann auch, dass es gefixt ist, findet es dann aber wieder.

-Kaspersky findet nichts

-Panda hatte ja schon nichts gefunden (online)

Mir schwindet langsam die Motivation. Ich mach mich schon auf ne neuinstall gefasst. Hätte ich das vorgestern schon gemacht, würde vermutlich alles wieder laufen.

Ist mir noch zu helfen?

Wenn mir niemand mehr helfen kann, setze ich heute abend neu auf.

Wie siehts aus? Irgendwelche Ideen?