| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Smitfraud auch bei mir aus heiterem HimmelWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.06.2005, 03:22
| #1 |
| |  Smitfraud auch bei mir aus heiterem Himmel Ich möchte euch noch um diese Zeit auf mein Problem vorbereiten. Habe vor ungefähr 90 min mit nem netten Trojaner Bekanntschafft gemacht. Ich war gerade am BF2 installieren und hab nach websearchnetwork gegoogelt, das sich seit ner Woche ungefähr immer wieder als Startseite im INet Explorer eingeschlichen hat. Ich hatte dann den PS Guard drauf und der Desktophintergrund wurde durch blauen hintergrund mit der Meldung : Security Warning A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) + 00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c Scan your PC with any available antivirus / spyware remover program to fix the problem. Noch nie von sowas betroffen bin ich etwas überfordert und auch die Lösungansätze hier im Forum find ich recht kompliziert. Aber da muss ich wohl durch. Momentan kann ich Programme nur mit dem Task Manager öffnen. und das Navigieren im System ist mühsam. Nach Neustart bekam ich auch die Explorer Fehlermeldung. Es wäre sehr schön, wenn sich jemand meinem Problem annehmen könnte und auf meinen mangelnden Sachverstand was die Problematik betrifft Rücksicht nimmt. Ich werde jetzt erstmal schlafen gehen. Hab morgen Spätdienst und checke vorher nochmal den Thread. werde aber erst morgen abend richtig loslegen können. Hier schonmal das HijackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 04:04:10, on 24.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Temp\Escan\mwav\mwavscan.com C:\Temp\Escan\mwav\kavss.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\notepad.exe C:\Temp\Hijack this\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\pumba2.dll O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - h**p://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118877767125 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://w*w.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{816DD66A-AABA-4846-9638-9F1C9A16D186}: NameServer = 192.168.0.200 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Das Log von Escan ist ja elendig lang. Escan hat drei Viren gefunden Ich glaub die entscheidenden Passagen aus dem Log sind diese hier: Fri Jun 24 03:36:02 2005 => Scanning File C:\WINDOWS\pumba2.dll Fri Jun 24 03:36:18 2005 => File C:\WINDOWS\pumba2.dll tagged as "not-a-virus:AdWare.ToolBar.Azesearch.d". Action Taken: No Action Taken. Fri Jun 24 03:36:18 2005 => Scanning File c:\programme\google\googletoolbar2.dll Fri Jun 24 03:36:18 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects Fri Jun 24 03:36:18 2005 => {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll Fri Jun 24 03:36:18 2005 => Scanning File C:\PROGRA~1\Adobe\ACROBA~1.0\ActiveX\ACROIE~1.DLL Fri Jun 24 03:36:18 2005 => {53707962-6F74-2D53-2644-206D7942484F} = C:\PROGRA~1\SPYBOT~1\SDHelper.dll Fri Jun 24 03:36:18 2005 => Scanning File C:\PROGRA~1\SPYBOT~1\SDHelper.dll Fri Jun 24 03:36:19 2005 => {AA58ED58-01DD-4d91-8333-CF10577473F7} = c:\programme\google\googletoolbar2.dll Fri Jun 24 03:36:19 2005 => Scanning File c:\programme\google\googletoolbar2.dll Fri Jun 24 03:36:19 2005 => {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} = C:\WINDOWS\pumba2.dll Fri Jun 24 03:36:19 2005 => Scanning File C:\WINDOWS\pumba2.dll Fri Jun 24 03:36:19 2005 => {f65b197f-8260-4d52-909a-f70118e646eb} = C:\WINDOWS\system32\iasada.dll Fri Jun 24 03:36:19 2005 => Scanning File C:\WINDOWS\system32\iasada.dll Fri Jun 24 03:36:19 2005 => File C:\WINDOWS\system32\iasada.dll tagged as "not-a-virus:AdWare.ToolBar.Azesearch.b". Action Taken: No Action Taken. Fri Jun 24 03:36:35 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD Fri Jun 24 03:36:35 2005 => ***** Scanning Registry and File system for Adware/Spyware ***** Fri Jun 24 03:36:56 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken. Fri Jun 24 03:36:56 2005 => Object "CWS.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Jun 24 03:36:57 2005 => ***** Scanning Registry for errors created because of Adware/Spyware ***** Fri Jun 24 03:37:21 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken. Fri Jun 24 03:37:24 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken. Fri Jun 24 03:37:55 2005 => Entry "HKCR\Ulead.VOE.1" refers to invalid object "{6C91BBFD-0781-4936-A3DC-10D60BA3294D} ". Action Taken: No Action Taken. Fri Jun 24 03:36:35 2005 => ***** Scanning Registry and File system for Adware/Spyware ***** Fri Jun 24 03:36:56 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken. Fri Jun 24 03:36:56 2005 => Object "CWS.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Jun 24 03:36:57 2005 => ***** Scanning Registry for errors created because of Adware/Spyware ***** Fri Jun 24 03:37:21 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken. Fri Jun 24 03:37:24 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken. Fri Jun 24 03:37:55 2005 => Entry "HKCR\Ulead.VOE.1" refers to invalid object "{6C91BBFD-0781-4936-A3DC-10D60BA3294D} ". Action Taken: No Action Taken. PSGuard hab ich im abgesicherten Modus über Systemsteuerung>Software gelöscht. Fri Jun 24 03:36:25 2005 => ERROR!!! Invalid Entry PSGuard = C:\Programme\PSGuard\PSGuard.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken. Das ist mit sicher heit schon wieder das falsche gepostet. Seht es mir nach es ist arg spät und ich bange um mein noch recht frisches Sytem. Der Panda online Check hatte übrigens nichts gefunden |
| Themen zu Smitfraud auch bei mir aus heiterem Himmel |
| 192.168.0.2, abgesicherten modus, adobe, adobe reader, als startseite, antivir update, antivirus, avg, bho, canon, ctfmon.exe, error, excel, explorer, fatal error, fraud, google, hijack, hijack this, hijackthis, hijackthis log, immer wieder, internet, internet explorer, monitor, problem, registry, smitfraud, spyware, system, temp, trojaner, tuneup utilities, viren, windows, windows xp |
Baum-Darstellung