|
Plagegeister aller Art und deren Bekämpfung: und schon wieder Smitfraud c.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.09.2005, 13:49 | #1 |
| und schon wieder Smitfraud c. Ich habe schon seit längerem den Trojaner Smitfraud c. auf meinem PC. Ich habe auch schon 2x probiert ihn mit den in anderen Threads genannten Tipps zu löschen. Aber leider funktioniert das alles irgendwie nicht. Obwohl ich die Systemwiederherstellung bereits ausgeschaltet habe, kommt er immer wieder. Ich verstehe das nicht. Und Spybot S&D kann den nichtmal direkt nach dem booten löschen. Auch die Batch Datei "smitRem" hat leider nichts geholfen. Jedes Mal beim Scannen mit Spybot gibt es 30 Einträge und es werden egal was ich mache nicht weniger. Dann habe ich auch noch den Smitfraud-Remover, der in einem anderen Thread empfohlen wird, ausprobiert. Ergebniss: Spybot findet eine neue Bedrohung Namens SpySheriff (der bekanntlicherweiße mit Smitfraud zusammenhängt) Ich habe beim Spybot immer wieder die folgenden Bedrohungen: CoolWWWSearch (1 Eintrag, lässt sich löschen) PSGuard (1 Eintrag, lässt sich löschen) Smitfraud c. (30 Einträge, lassen sich überhaupt nicht löschen) Ich will meinen PC wieder mal "clean" bekommen! Könnte ihr mir Tipps geben bzw. sagen was ich noch probieren soll um diesen Trojaner zu entfernen? Hier mein HijackThis Logfile: PHP-Code: OS: Windows XP Prof SP 2 Firewall: ZoneAlarm Virenscanner: BitDefender Prozessor: Intel Pentium 4 "Prescott" RAM: 1GB DDR RAM ... wenn ihr noch weitere Daten braucht, poste ich die selbsverständich. Vielen Dank für eure Hilfe! RemoteC |
09.09.2005, 14:11 | #2 |
Administrator, a.D. | und schon wieder Smitfraud c. Hallo,
__________________dein HJT Log-File wurde im abgesicherten Modus erstellt, besser wäre es gewesen, wenn du es vom normalen Modus gepostest hättest. Hast du das Log-File selbst abgetippt? Welche Spybot S&D Version verwendest du derzeit? Ist der TeaTimer aktiviert? Wenn Ja, dann deaktiviere diesen und führe die Prozedur erneut aus. Hilfreich wäre auch, wenn du uns die genauen Pfadangaben der einzelnen Einträge mitteilen würdest. Ansonsten sehe ich keine Auffälligkeiten in deinem Log-File.
__________________ |
09.09.2005, 17:25 | #3 |
| und schon wieder Smitfraud c. Hier nochmal das Log-File. Diesmal ganz normal im Windows gemacht. Abgetippt habe ich es natürlich nicht, Copy-and-Paste heißt das Zauberwort .
__________________Logfile of HijackThis v1.99.1 Scan saved at 18:09:25, on 09.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Program Files\ASUS\Probe\AsusProb.exe D:\PowerDVD\PDVDServ.exe C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe D:\ZoneAlarm\zlclient.exe C:\Programme\Mozilla Firefox\firefox.exe D:\ICQLite\ICQLite.exe D:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [pcwTempLeer] Cmd /c C:\WINDOWS\pcwTempLeer.bat O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [RemoteControl] D:\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] D:\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [Wallpaper4U] D:\WALLPA~1\WALLPA~1.EXE -w O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/.../Installer.exe O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0C7ABFB9-9030-47A8-9212-80489C9181B6}: NameServer = 195.3.96.67 195.3.96.68 O17 - HKLM\System\CS1\Services\Tcpip\..\{0C7ABFB9-9030-47A8-9212-80489C9181B6}: NameServer = 195.3.96.67 195.3.96.68 O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Ich verwende Spybot S&D 1.3 mit den Erkennungsregeln vom 2.9.2005. Da gibts zwar grad neue, aber die kann ich nicht runterladen (Falsche Checksumme). Abe was ist bitte ist der 'Tea Timer' und wo kann ich den ausschalten? Pfadangabe der Einträge: --- Spybot - Search && Destroy version: 1.3 --- 2005-04-26 Includes\Cookies.sbi 2005-08-26 Includes\Dialer.sbi 2005-09-01 Includes\Hijackers.sbi 2005-08-16 Includes\Keyloggers.sbi 2004-11-29 Includes\LSP.sbi 2005-09-01 Includes\Malware.sbi 2005-08-12 Includes\PUPS.sbi 2005-04-27 Includes\Revision.sbi 2005-08-25 Includes\Security.sbi 2005-09-01 Includes\Spybots.sbi 2005-02-17 Includes\Tracks.uti 2005-09-01 Includes\Trojans.sbi Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\www.niger.ru\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\www.6o9.com\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webpidor.biz\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\visitfriend.net\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\tracking.allposters.com\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\toprefsys.com\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\terra.hcworld.com\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\t34rulit.com\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\s2.kav.cc\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\s13.remove.cc\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\rf104.com\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\new.8ad.com\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\msnprotection.com\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\meetyourfriend.biz\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\makechoice.com\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\love-catalog.net\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\letgohome.com\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\greg-tut.com\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\fuck-fuck.org\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\free-spy-cam.net\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\fast-look.com\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ewizard.cc\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\e-finder.cc\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\dl.ad-ware.cc\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\datingforlove.org\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\crl.thawte.com\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\cc20foreva.com\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\bin.wordsx.cc\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\adulthell.com\*!=W=4 Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-602162358-1532298954-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\75tz.com\*!=W=4 Ich hoffe das passt jetzt so. mfg RemoteC |
09.09.2005, 19:42 | #4 |
| und schon wieder Smitfraud c. Poste auch mal den Log der Smitrem.
__________________ Only cronos endures |
09.09.2005, 19:50 | #5 | |
Administrator, a.D. | und schon wieder Smitfraud c. Ergänzend zu cronos... Zitat:
Deinstalliere Spybot S&D 1.3, installiere/aktualisiere anschließend Spybot S&D 1.4 und scanne dein System. Poste erneut die Beanstandungen, sofern es welche gibt. Achte aber darauf, daß du den TeaTimer (Immunisierung) bei der Installation nicht aktivierst. |
Themen zu und schon wieder Smitfraud c. |
1.exe, booten, defender, ellung, entfernen, excel, explorer, fraud, hijack, hijackthis, hijackthis logfile, hängt, icqtoolbar, internet, internet explorer, logfile, monitor, nvidia, object, programme, rundll, scan, server, smitfraud, software, trojaner, träge, urlsearchhook, windows, windows xp |