smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system folder ~~~


oleext.dll


~~~ Icons in system folder ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~~ wininet.dll ~~~~

wininet.dll Present!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system folder ~~~


oleext.dll


~~~ Icons in system folder ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~~ wininet.dll ~~~~

wininet.dll INFECTED!!

das ist der smitfiles log

der andere is hier:

Logfile of HijackThis v1.99.1
Scan saved at 20:37:36, on 09.09.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ATLND.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\PRPCUI.EXE
C:\WINDOWS\VCONTROL.EXE
C:\WINDOWS\HAMPANEL.EXE
C:\PROGRAMME\D-LINK\AIR USB UTILITY\AIRCFG.EXE
C:\PROGRAMME\ANI\ANIWZCS2 SERVICE\WZCSLDR2.EXE
C:\WINDOWS\NTGS.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\PROGRAMME\SPYBOT\TEATIMER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - C:\WINDOWS\IPYF32.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [ASUSNBHK] C:\WINDOWS\VCONTROL.EXE
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NTGS.EXE] C:\WINDOWS\NTGS.EXE
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\TEMP\9084.TMP" /m
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [ATLND.EXE] C:\WINDOWS\SYSTEM\ATLND.EXE /s
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com


der escan ist riesig..guckn ob ich den gepostet krieg. der hat viele files erkannt aber auch viel geloescht, naja nachm reboot hat sich ps guard wieder automatisch installiert
thx 4 help schoma

€: was braucht ihr von dem mwav.log ? der ist 1mb gross -.-
der scan nachdem ich dieses tool geused habe war auch keine 3h lang sondern nur so 1min oder so..vielleciht liegt das an kleiner hd? (2gb)

ne escan hat absolut garnix gelöscht. das kann er in der freewareversion gar net.
das musst schon du manuell erledigen.

fixe erstmal diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - C:\WINDOWS\IPYF32.DLL
O4 - HKLM\..\Run: [ASUSNBHK] C:\WINDOWS\VCONTROL.EXE
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel.exe /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [NTGS.EXE] C:\WINDOWS\NTGS.EXE
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\TEMP\9084.TMP" /m
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\RunServices: [ATLND.EXE] C:\WINDOWS\SYSTEM\ATLND.EXE /s

lass die dateien
C:\WINDOWS\VCONTROL.EXE, C:\WINDOWS\hampanel.exe, C:\WINDOWS\SYSTEM\ATLND.EXE und C:\WINDOWS\NTGS.EXE bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis.

-lade dir den Internet Explorer 6 runter
-installiere ihn aber nicht sondern entpacke ihn bequem nach C:\ (mit winzip oder winrar - einfach nur nach c:\ das verzeichnis das in dem archiv ist)

lösche diese dateien und ordner im abgesicherten modus:
C:\WINDOWS\xqndh.dll
C:\WINDOWS\IPYF32.DLL
C:\WINDOWS\VCONTROL.EXE
C:\WINDOWS\hampanel.exe
C:\WINDOWS\NTGS.EXE
C:\WINDOWS\TEMP\9084.TMP
C:\Programme\PSGuard
C:\WINDOWS\SYSTEM\ATLND.EXE


dann ersetze die wininet.dll:
-start -> ausführen -> command
-cd .. eingeben
-cd .. eingeben
-cd .. eingeben (damit du auf c: bist)
-dann cd ie6sp1 eingeben
-gebe extract /a /e ie_s2.cab *.cab ein
-gebe extract /a /e ie_s3.cab *.cab ein
-gebe extract /a /e ie_2.cab wininet.dll ein
-start -> ausführen -> notepad -> OK
-gebe copy c:\ie6sp1\wininet.dll c:\windows\system ins leere textfeld ein
-datei -> speichern unter -> (ordner c:\windows\command auswählen) datei cmdinit.bat nennen -> dateityp: Alle dateien -> Speichern
Neustart
beim neustart wird warscheinlich dann kurz unterbrochen mit einer meldung, dass die datei bereits existiere. mit J bestätigen.
dann die datei cmdinit.bat löschen

deaktiviere die systemwiederherstellung im abgesicherten modus (rechtsklick arbeitsplatz, eigenschaften, dateisystem,erweitert,fehlerbehebung,systemwiederherstellung auf allen laufwerken deaktivieren haken hin)


anschließend führe die Smitfraud-C Anleitung durch.

anschließend eScan gemäß der Anleitung ausführen.

neues HJT-Logfile posten.

Ich weiß hört sich wie eine unschaffbare herausforderung an - ist aber sehr einfach