|
Plagegeister aller Art und deren Bekämpfung: Trojan spy SmithfraudWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.07.2005, 12:17 | #1 |
| Trojan spy Smithfraud Hallo Mein PC ist damit seit gestern infiziert. Auch im abgesicherten Modus ist es nicht möglich, auf die Programme zuzugreifen - es kommt nur die Meldung: Exploreriese Anwendung wird aufgrund eines ungültigen Vorganges geschlossen. Nix rührt sich am Bildschirm, PC hängt. Heute klickste ich im normalen Modus in meiner Verzweiflung in Sekundenbruchteilen - bevor die Meldung kam - auf Firefox. Jetzt bin ich wenigstens im internet, Startmenü funktionniert aber nicht, ich sehe nur die Sanduhr dort. Bitte Leute, gibt es irgendwo ein downloadbares Removertool oder hat jemand eine Ahnung, was ich sonst machen könnte? Freundliche Grüsse, Kassandra P.s.: PC Version: Win98Se |
01.07.2005, 13:06 | #2 |
| Trojan spy Smithfraud__________________
__________________ |
01.07.2005, 14:50 | #3 |
| Trojan spy Smithfraud Danke Cronos!
__________________Alles durchgelesen, killbox heruntergeladen, geöffnet, sie funktionniert - Uff! Bei mir ist aber Folgendes los: Im abgesicherten Modus kann ich nichts öffnen, alle Bedienungselemente sind eingefroren. Ich konnte mich heute nur durch schnelles Klicken mit I-Net verbinden, (Bevor Sicherheitswarnung auftauchte). Momentan browse ich mit Firefox, kann aber kein 2.Fenster mehr öffnen, Taskleiste ist unsichtbar, Fenster für Links fehlt, ebenso vor- und zurück- bottoms. Die Meldung: "Explorer:Anwendung wird geschlossen..." verschiebe ich hin und her, um lesen zu können. Wenn ich nämlich ok sage, bricht I-Net zusammen. Du, ich bin wirklich Amateur, wenn ich einfach die Dateien von Deinem Link in die Killbox kopiere, (kann da jetzt nicht rüber, sonst müsste ich wieder über Google hierher zurück) - würde das funktionnieren? LG, Kassandra |
01.07.2005, 16:11 | #4 | |
| Trojan spy SmithfraudZitat:
__________________ Only cronos endures |
01.07.2005, 20:21 | #5 |
| Trojan spy Smithfraud Hallo Profis Bitte nicht lachen, ich beneide Euch um Eure Kenntnisse! Bin kurz vorm "Nervenzusammenbruch" Habe mühsam alles files abgepinselt, dann in die killbox eingetragen(habe keine taskleiste mehr, sobald ich ins Forum gehe ist die killbox pfutsch und nirgendwo mehr zu finden). Dann im abgesicherten mode gestartet, konnte gerade spyboot öffnen (der meinte nach scan, es gäbe ein zugriffsverbot) und auf einmal hat alles wieder blockiert. Wieder normal gestartet, wieder zur killbox, dann wieder gestartet und plötzlich war alles normal, sogar meine Taskleiste. Ich habe sofort Adaware geöffnet und wollte updaten, da geht mir GoldenAntivirus auf (das icon war schon vorher am Desktop). Wieder blockiert das System. Also wieder gestartet, nochmals zur killbox, wieder gestartet, egal in welchem Modus - der PC hängt. Weiss mir keine Hilfe mehr, versuchte vorher Antivir downzuladen, da ich ja nicht auf meine Programme zugreifen kann. Das bleibt auch mitten in der Installation hängen. Leider habe ich nur wenige Kenntnisse, aber "noch mehr leider" bin ich auch verdammt hartnäckig. Übrigens habe ich auch mit Hijack gescannt, der fand einen GoldenAntivir Eintrag, den habe ich fixiert. Änderte aber auch nichts am Problem. Mich wundert, warum ich überhaupt noch ins Inet komme..... Im wahrsten Sinne des Wortes: Gute Nacht! Hier noch das letzte Ergebnis vom Hijack, vielleicht hilft es ja.. Logfile of HijackThis v1.99.1 Scan saved at 21:22:35, on 01.07.2005 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\MESSENGER PLUS! 3\MSGPLUS.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\EIGENE DATEIEN\EIGENE DOWNLOADS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rcbsaaxgjnmvtjyetapz.com/...MCz83ZoRdh.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://internet.sunrise.ch/de/hom/default.asp O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {AAAC3A36-9407-9825-F453-4C3D5739E8C9} - C:\WINDOWS\PROFILES\AK\ANWENDUNGSDATEN\WIN MEDIA COPY\REMOTETRAY.EXE (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL O4 - HKLM\..\Run: [Itch Aim Time Bias] C:\WINDOWS\Profiles\ak\Anwendungsdaten\Surf pure itch aim\Build Knob.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [Skype] "C:\PROGRAMME\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized O4 - HKCU\..\Run: [Hidewipe] C:\WINDOWS\PROFILES\AK\ANWEND~1\SHOWDR~1\Pure log.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll O20 - Winlogon Notify: style2 - C:\WINDOWS\Q4659336_DISK.DLL Geändert von Kassandra (01.07.2005 um 20:31 Uhr) |
01.07.2005, 21:20 | #6 |
| Trojan spy Smithfraud @ diesen datei online überprüfen lassen C:\WINDOWS\Q4659336_DISK.DLL und zwar hier http://virusscan.jotti.org/de/ deinstalliere über systemsteuerung, software, MessengerPlus3 wechsle in den abgesicherten modus und fixe mit HJT: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rcbsaaxgjnmvtjyetapz.com...CMCz83ZoRdh.php falls du diesen eintrag nicht kennst(wenn das nicht deine startseite ist), dann fixen R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://internet.sunrise.ch/de/hom/default.asp fixen O2 - BHO: (no name) - {AAAC3A36-9407-9825-F453-4C3D5739E8C9} - C:\WINDOWS\PROFILES\AK\ANWENDUNGSDATEN\WIN MEDIA COPY\REMOTETRAY.EXE (file missing) O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" wenn du diesen einträge nicht kennst, dann fixen O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present fixen O20 - Winlogon Notify: style2 - C:\WINDOWS\Q4659336_DISK.DLL danach manuell löschen C:\WINDOWS\Q4659336_DISK.DLL C:\Programme\Messenger Plus! 3\MsgPlus.exe(falls noch vorhanden) neu booten, neues HJT logfile posten chaosman
__________________ --> Trojan spy Smithfraud |
01.07.2005, 23:29 | #7 |
| Ergebnis Hallo Chaosman Datei: Q4659336_DISK.DLL Status: INFIZIERT/MALWARE Entdeckte Packprogramme: UPX AntiVir TR/Dldr.Delf.PA gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.Delf.lh gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Logfile of HijackThis v1.99.1 Scan saved at 00:30:54, on 02.07.2005 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\EIGENE DATEIEN\EIGENE DOWNLOADS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://internet.sunrise.ch/de/hom/default.asp O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL O4 - HKLM\..\Run: [Itch Aim Time Bias] C:\WINDOWS\Profiles\ak\Anwendungsdaten\Surf pure itch aim\Build Knob.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [Skype] "C:\PROGRAMME\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized O4 - HKCU\..\Run: [Hidewipe] C:\WINDOWS\PROFILES\AK\ANWEND~1\SHOWDR~1\Pure log.exe O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll O20 - Winlogon Notify: style2 - C:\WINDOWS\Q4659336_DISK.DLL In die Systemsteuerung komme ich beim besten Willen nicht rein. Weder im normalen Modus, noch im abgesicherten. Desktop erscheint zwar, aber alles ist "eingefroren" , nur auf firefox kann ich klicken - und das auch nur, wenn ich ungeheuer schnell bin (bevor diese Meldung vom ungültigen Vorgang aufscheint) O20 - Winlogon Notyfy:... habe ich übrigens auch gefixt, sehe gerade, dass es trotzdem wieder da ist. viellleicht weisst Du ja ein Hintertürl für die Systemsteuerung, Danke erstmal! Geändert von Kassandra (02.07.2005 um 00:14 Uhr) |
01.07.2005, 23:34 | #8 | |
| Trojan spy Smithfraud Hast du denn das schon versucht: Zitat:
__________________ Only cronos endures |
02.07.2005, 00:10 | #9 |
| Trojan spy Smithfraud Hallo Cronos Ja, den Beitrag habe ich schon am Nachmittag gelesen, aber es dann fallen lassen, da ich weder so noch andersrum Zugriff auf meine Festplatte habe. Jetzt habe ich es trotzdem versucht - rechter Mausklick, Ziel speichern unter, dann kam die "Sanduhr", der PC hat sich wieder aufgehängt, also habe ich nochmals starten müssen usw. Jetzt bin ich wieder da Ehrlich, ich bin 42 Jahre und alles, was ich über PC weiss, habe ich mir selbst durch Probieren beigebracht. Vielleicht werde ich es auch mit Eurer Hilfe nicht schaffen, den Virus zu entfernen, vielleicht doch - Ich tue mein Bestes Auf jeden Fall habe ich heute hier etwas über Menschlichkeit gelernt Danke! |
02.07.2005, 00:21 | #10 |
| Trojan spy Smithfraud Du hast alle Vorschläge im abgesicherten Modus abgearbeitet? Versuche auch mal folgendes: http://www.trojaner-board.de/showpos...73&postcount=7
__________________ Only cronos endures |
02.07.2005, 01:04 | #11 |
| Trojan spy Smithfraud Hallo Cronos Das ist ja mein Problem, ich komme auch im abgesicherten Modus nicht in die Systemsteuerung und an meine Programme. Zuerst kommt die Meldung:"Windows werden im abgesicherten Modus ausgeführt" drück ich dann auf ok, erscheint die Meldung: "Diese Anwendung wird aufgrund eines ungültigen Vorgangs geschlossen" - Sage ich da ok, kommt wieder die 1.Meldung. Dieses File aus Deinem Beitrag habe ich eben auf jotti auf gut Glück versucht hochzuladen (habe ja keine Möglichkeit, nachzusehen, ob es überhaupt am PC ist). Folgende Meldung habe ich erhalten: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file Firewall hatte ich mal, musste ihn aber wieder deinstallieren, Win98Se hängte sich dauernd auf - leider. Den Rest lese ich mir morgen durch, besser ich mache jetzt Schluss, bevor ich noch vorm PC kollabiere... Lg, Kassandra |
05.07.2005, 20:07 | #13 |
| Trojan spy Smithfraud Hallo nochmal! 4Tage trojanischer Krieg, zuerst habe ich Windows neu installiert, zwar konnten einige Komponenten nicht installiert werde, aber die Systemsteuerung ging endlich auf. Dann mit altem Antivir durchgescannt, trojan downloader entfernt..... Fazit: kein Internetzugang mehr. Dann habe ich halt herumgebastelt, immer wieder versucht zu installieren usw. Kzk, jetzt scheine ich es geschafft zu haben, momentan läuft e.scan, werde noch den ganzen Abend Viren suchen. Hoffe, dass alles ok ist: Logfile of HijackThis v1.99.1 Scan saved at 20:59:25, on 05.07.2005 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\RunDLL.exe C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\PROGRAMME\CANON\MULTIPASS4\MPDBMGR.EXE C:\EIGENE DATEIEN\EIGENE DOWNLOADS\IWN2K3E.EXE C:\WINDOWS\INS1095.TMP C:\PROGRAMME\ESCAN\TRAYICOS.EXE C:\PROGRAMME\ESCAN\MAILDISP.EXE C:\WINDOWS\SYSTEM\WINOA386.MOD C:\PROGRAMME\ESCAN\SPOOLER.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\ESCAN\ESCANWIN.EXE C:\PROGRAMME\ESCAN\KAVSS.EXE C:\EIGENE DATEIEN\EIGENE DOWNLOADS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ....://internet.sunrise.ch/de/hom/default.asp O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\Run: [Welcome] C:\WINDOWS\Welcome.exe /R O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKLM\..\RunServices: [eScan Updater] C:\PROGRA~1\ESCAN\TRAYICOS.EXE O4 - HKLM\..\RunServices: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE /service O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll eine Frage hätte ich noch: Firefox zeigt mir auch weiterhin keine Bedienungsknöpfe und kein www. Fenster. Hat er etwas abgekriegt und muss ich ihn vieleicht auch neu installieren? Danke und viele Grüsse! Kassandra |
Themen zu Trojan spy Smithfraud |
abgesicherte, abgesicherten, abgesicherten modus, ahnung, anwendung, bildschirm, funktion, gestern, infiziert., interne, internet, leute, meldung, modus, nicht möglich, normalen, programme, remover, sanduhr, smithfraud, spy, startmenü, troja, trojan, version, verzweiflung, win, win98se |