|
Plagegeister aller Art und deren Bekämpfung: Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-cWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.05.2005, 19:31 | #1 | ||
| Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c Im folgenden findet ihr eine Beschreibung zu Entfernung des Trojaners „Smitfraud.c“. Sophos führt diesen unter dem Namen Troj/FakeAle-c. Es handelt sich hier weitestgehend um eine Übersetzung des Posts von Pieter_Arntz aus den Wilders Security Forums, der von mir leicht auf unser Forum zugeschnitten wurde. Alle Vorschläge müssen im abgesicherten Modus Modus durchgeführt werden. Nutzer von Windows XP oder ME sollten auch noch, wie im vorherigen Link beschrieben, die Systemwiederherstellung abschalten. Zuallererst sollten folgende Programme über Systemsteuerung->Software falls vorhanden deinstalliert werden: Security IGuard Virtual Maid Search Maid Wichtig: Beachtet bitte, dass für die nächsten Schritte alle Dateien angezeigt werden müssen: Zitat:
Sollten die etwas weiter unten genannten Prozesse laufen, sind diese zu beenden. Mittels Killbox sind nun folgende Dateien zu löschen: C:\wp.exe C:\wp.bmp C:\bsw.exe C:\Windows\sites.ini C:\Windows\popuper.exe C:\Windows\System32\helper.exe C:\Windows\System32\intmonp.exe C:\Windows\System32\msmsgs.exe C:\Windows\System32\ole32vbs.exe C:\Windows\system32\msole32.exe C:\Windows\System32\wldr.dll C:\Windows\system32\perfcii.ini Dazu sollte wie folgt vorgegangen werden: Zitat:
Falls vorhanden, sind jetzt noch folgende Ordner zu löschen: C:\Program Files\Search Maid C:\Program Files\Virtual Maid C:\Windows\System32\Log Files C:\Program Files\Security IGuard Ein Reg.File, das die meisten Registryveränderungen rückgängig macht,findet sich hier.Dazu rechtsklick auf den Link, "speichern unter" wählen, danach die gespeicherte Datei aufrufen.Die folgende Frage mit ja beantworten.Veränderungen werden jetzt vorgenommen. Ist das abgearbeitet muss der Computer neugestartet werden. Wieder in den abgesicherten Modus wechseln. Nun das Programm Hoster öffnen. "Restore Original Hosts" wählen, mit OK bestätigen. Abschliessend, die hier von Cidre genannten Vorschläge durchführen, das Programm CleanUp laufen lassen und ein Antivirenprogramm über das System laufen lassen, am besten Escan Nachtrag: In einer neueren Version werden noch folgende Ordner im Systemordner erstellt (z.B: C:\Windows\System32) %systemroot%\system32\shnlog.exe %systemroot%\system32\intmon.exe %systemroot%\system32\msmsgs.exe %systemroot%\system32\hhk.dll %systemroot%\system32\hp***.tmp <- *** sind zufällig generierte Zeichen. Der .tmp Ordner wird als BHO installiert und „hijacked“ den Browser nach quicknavigate.com . Nachdem es sich selbst installiert hat, werden alle vorhandenen BHOs gelöscht. Demzufolge müßen auch die Programme, wie z.B. Acrobat Reader, neu installiert werden, damit diese wieder voll funktionsfähig sind. Anm. Vielen Dank an cronos für die Übersetzung. Thread geschlossen und als 'Wichtig' markiert! LG Cidre S-Mod TB
__________________ Only cronos endures |
05.06.2005, 22:46 | #2 | |
| Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c ********************Update 1*****************************
__________________Eine neue Version namens stealthSWs114.h!dll hoax ist aufgetaucht. Diese „hijackt“ den Browser nach h**p://www.startsearches.net/ : Screenshot Die Funktionsweise dieser Version basiert auf der bekannten und ist wie oben beschrieben zu löschen. Auch wurde ein neues CLSID für die BHOs entdeckt. Dies erkennt man mittels Hijackthis an folgenden Einträgen: O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpC776.tmp oder O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp3C2E.tmp Entsprechende Einträge sind mittels HijackThis zu fixen und die zugehörigen Dateien danach manuell zu löschen. ********************Update 2***************************** Eine andere Version „wirbt“ für AntivirusGold. Folgende Einträge werden von HijackThis erkannt: O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\System32\LogFiles\A5281300.so O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\winnook.exe O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\hookdump.exe Diese sind mittels Hijackthis zu fixen. Auch hier müssen zugehörige Ordner selbstverständlich manuell gelöscht werden. Beachte: Je nach verwendetem Betriebssystem können sich die Pfadnamen leicht unterscheiden. Zusätzlich sind im Windows-Ordner noch folgende Dateien zu löschen: desktop.html <-- diese gehört zu u.g. Screenshot screen.html Das penetrante Hintergrundbild ist wie folgt zu entfernen. : Diese .reg Datei sollte den Desktop wieder nutzbar machen. Zitat:
__________________ |
13.06.2005, 00:11 | #3 |
| Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c ********************Update*****************************
__________________Und wieder ist eine neue Version aufgetaucht. Erkennbar an folgendem HJT-Eintrag: O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\zloader3.exe Als Desktop-Hintergrund erscheint dieses Bild . Das im ersten Post erwähnte Reg. File sollte den Desktop wieder nutzbar machen. Dateien, die zusätzlich noch gelöscht werden müssen: C:\WINDOWS\zloader3.exe C:\WINDOWS\system32\oleadm.dll C:\WINDOWS\system32\oleadm32.dll C:\WINDOWS\system32\wp.bmp Desweiteren sollte bei dieser Version ein Onlinscan mit Panda Active Scan durchgeführt werden. Grund: Die zloader3.exe läd oleadm32.dll nach, die nach einem Reboot, die Original-vorhandene wininet.dll ersetzt. Der Active-Scan sollte diese Datei desinfizieren. Beachte: Pandas Active Scan wird leider nur durch den IE unterstützt, da ein ActiveX-Steuerelement benötigt wird.
__________________ |
27.07.2005, 22:10 | #4 |
| Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c Für diejenigen, die sich die manuelle Entfernung des o.g. Problems ersparen wollen, folgt hier eine alternative Beschreibung unter Zuhilfenahme eines eigens von Noahdfear dafür geschriebenen Tools, welches alle bisher bekannten Varianten der Smitfraud-Familie entfernen kann, die da wären: Security IGuard Virtual Maid Search Maid AntiVirusGold PSGuard SpySheriff Zunächst einmal muß die Datei smitrem.zip runtergeladen werden. Danach muß die Datei in einen eigenen Ordner auf dem Desktop entpackt. Dazu rechtsklick auf die Datei und Dateien entpacken wählen.(Das ist die vorgehensweise für das Programm WINRAR, bei anderen Packprogrammen wird es aber ähnlich funktionieren.).Bitte noch nicht das Tool starten. Falls man nicht im Besitz der Programme Adaware und Spybot ist, kann man sich diese kostenlos unter den eben genannten Links runterladen. Nach dem runterladen bitte beide Programme updaten. Bitte auch hier noch nicht mit dem Scan beginnen. Zu guter Letzt wird noch Escan benötigt. Beschreibung und Downloadmöglichkeit sind im vorherigen Link beschrieben.Escan muß natürlich auch upgedatet werden. Sind alle Programme vorhanden, geht es jetzt los mit der Entfernung: Als erstes muß in den abgesicherten Modus gewechselt werden. Nutzer von XP und Windows ME müssen zusätzlich die Systemwiederherstellung abschalten. Wie das funktioniert, wird hier beschrieben. Jetzt im Ordner smitrem auf die Datei Runthis.bat doppelklicken, um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen. Ist das Tool fertig, started noch DiskCleanup Das kann etwas länger dauern, da das Tool abschließend noch die Festplatte aufräumt. In Einzelfällen kann das bis zu 3 Stunden dauern, also bitte etwas Geduld mitbringen. Ist das Tool fertig wird der PC mittels Adaware und Spybot gescannt und alle Funde entfernt. Mit Spybot noch zusätzlich immunisieren. Unter Systemsteuerung-->Anzeige-->Desktop-->Desktop anpassen-->Web den evtl. vorhandenen Eintrag Security Info entfernen. Windows 95 und 98 Nutzer müssen hier noch das Häkchen bei Active Desktop als Webseite anzeigen entfernen. Nun das System mit Escan überprüfen. Danach muß der PC neugestartet und im normalen Modus gebootet werden. Jetzt bitte einen Hijackthis-Logfile erstellen und diesen mit den Escan Ergebnissen hier im Board posten. Dazu wäre auch noch das Logfile von smitrem interessant, welches unter C:\smitfiles.txt zu finden ist. Abschließend noch Dank an noahdfear für die Arbeit, die er sich mit dem Erstellen des Tools gemacht hat und Pieter Arnts, dessen Anleitung ich in groben Zügen übernommen habe. Auch noch Dank an Gigamail, der mich auf dieses Tool aufmerksam machte.
__________________ Only cronos endures |
Themen zu Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c |
abgesicherten modus, anzeige, aufrufe, bho, browser, dateien, ellung, entfernen, escan, explorer, frage, handel, link, log, löschen, malware, namen, neustart, programme, prozesse, rückgängig, software, sophos, speichern unter, system32, systemwiederherstellung, taskmanager, vielen dank, voll, windows, windows explorer, windows xp |