| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-cWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.05.2005, 19:31
| #1 | ||
  |  Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c Im folgenden findet ihr eine Beschreibung zu Entfernung des Trojaners „Smitfraud.c“. Sophos führt diesen unter dem Namen Troj/FakeAle-c. Es handelt sich hier weitestgehend um eine Übersetzung des Posts von Pieter_Arntz aus den Wilders Security Forums, der von mir leicht auf unser Forum zugeschnitten wurde. Alle Vorschläge müssen im abgesicherten Modus Modus durchgeführt werden. Nutzer von Windows XP oder ME sollten auch noch, wie im vorherigen Link beschrieben, die Systemwiederherstellung abschalten. Zuallererst sollten folgende Programme über Systemsteuerung->Software falls vorhanden deinstalliert werden: Security IGuard Virtual Maid Search Maid Wichtig: Beachtet bitte, dass für die nächsten Schritte alle Dateien angezeigt werden müssen: Zitat:
Sollten die etwas weiter unten genannten Prozesse laufen, sind diese zu beenden. Mittels Killbox sind nun folgende Dateien zu löschen: C:\wp.exe C:\wp.bmp C:\bsw.exe C:\Windows\sites.ini C:\Windows\popuper.exe C:\Windows\System32\helper.exe C:\Windows\System32\intmonp.exe C:\Windows\System32\msmsgs.exe C:\Windows\System32\ole32vbs.exe C:\Windows\system32\msole32.exe C:\Windows\System32\wldr.dll C:\Windows\system32\perfcii.ini Dazu sollte wie folgt vorgegangen werden: Zitat:
Falls vorhanden, sind jetzt noch folgende Ordner zu löschen: C:\Program Files\Search Maid C:\Program Files\Virtual Maid C:\Windows\System32\Log Files C:\Program Files\Security IGuard Ein Reg.File, das die meisten Registryveränderungen rückgängig macht,findet sich hier.Dazu rechtsklick auf den Link, "speichern unter" wählen, danach die gespeicherte Datei aufrufen.Die folgende Frage mit ja beantworten.Veränderungen werden jetzt vorgenommen. Ist das abgearbeitet muss der Computer neugestartet werden. Wieder in den abgesicherten Modus wechseln. Nun das Programm Hoster öffnen. "Restore Original Hosts" wählen, mit OK bestätigen. Abschliessend, die hier von Cidre genannten Vorschläge durchführen, das Programm CleanUp laufen lassen und ein Antivirenprogramm über das System laufen lassen, am besten Escan Nachtrag: In einer neueren Version werden noch folgende Ordner im Systemordner erstellt (z.B: C:\Windows\System32) %systemroot%\system32\shnlog.exe %systemroot%\system32\intmon.exe %systemroot%\system32\msmsgs.exe %systemroot%\system32\hhk.dll %systemroot%\system32\hp***.tmp <- *** sind zufällig generierte Zeichen. Der .tmp Ordner wird als BHO installiert und „hijacked“ den Browser nach quicknavigate.com . Nachdem es sich selbst installiert hat, werden alle vorhandenen BHOs gelöscht. Demzufolge müßen auch die Programme, wie z.B. Acrobat Reader, neu installiert werden, damit diese wieder voll funktionsfähig sind. Anm. Vielen Dank an cronos für die Übersetzung.  Thread geschlossen und als 'Wichtig' markiert! LG Cidre S-Mod TB
__________________  Only cronos endures |
| Themen zu Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c |
| abgesicherten modus, anzeige, aufrufe, bho, browser, dateien, ellung, entfernen, escan, explorer, frage, handel, link, log, löschen, malware, namen, neustart, programme, prozesse, rückgängig, software, sophos, speichern unter, system32, systemwiederherstellung, taskmanager, vielen dank, voll, windows, windows explorer, windows xp |
Baum-Darstellung