Im folgenden findet ihr eine Beschreibung zu Entfernung des Trojaners „Smitfraud.c“. Sophos führt diesen unter dem Namen Troj/FakeAle-c.

Es handelt sich hier weitestgehend um eine Übersetzung des Posts von Pieter_Arntz aus den Wilders Security Forums, der von mir leicht auf unser Forum zugeschnitten wurde.

Alle Vorschläge müssen im abgesicherten Modus Modus durchgeführt werden. Nutzer von Windows XP oder ME sollten auch noch, wie im vorherigen Link beschrieben, die Systemwiederherstellung abschalten.

Zuallererst sollten folgende Programme über Systemsteuerung->Software falls vorhanden deinstalliert werden:

Security IGuard
Virtual Maid
Search Maid

Wichtig: Beachtet bitte, dass für die nächsten Schritte alle Dateien angezeigt werden müssen:

Zitat:

Zitat von Cidre

Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Als nächstes ist der Taskmanager über die Tastenkombination Strg+Alt+Entf aufzurufen.
Sollten die etwas weiter unten genannten Prozesse laufen, sind diese zu beenden.
Mittels Killbox sind nun folgende Dateien zu löschen:

C:\wp.exe
C:\wp.bmp
C:\bsw.exe
C:\Windows\sites.ini
C:\Windows\popuper.exe
C:\Windows\System32\helper.exe
C:\Windows\System32\intmonp.exe
C:\Windows\System32\msmsgs.exe
C:\Windows\System32\ole32vbs.exe
C:\Windows\system32\msole32.exe
C:\Windows\System32\wldr.dll
C:\Windows\system32\perfcii.ini

Dazu sollte wie folgt vorgegangen werden:

Zitat:

Zitat von Cidre

Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.

Nach dem Neustart ist wieder wie oben beschrieben in den abgesicherten Modus zu wechseln.Hier bitte auch wieder vergewissern, dass alle Dateien (s.o.) angezeigt werden.
Falls vorhanden, sind jetzt noch folgende Ordner zu löschen:

C:\Program Files\Search Maid
C:\Program Files\Virtual Maid
C:\Windows\System32\Log Files
C:\Program Files\Security IGuard

Ein Reg.File, das die meisten Registryveränderungen rückgängig macht,findet sich hier.Dazu rechtsklick auf den Link, "speichern unter" wählen, danach die gespeicherte Datei aufrufen.Die folgende Frage mit ja beantworten.Veränderungen werden jetzt vorgenommen.

Ist das abgearbeitet muss der Computer neugestartet werden. Wieder in den abgesicherten Modus wechseln. Nun das Programm Hoster öffnen. "Restore Original Hosts" wählen, mit OK bestätigen.

Abschliessend, die hier von Cidre genannten Vorschläge durchführen, das Programm CleanUp laufen lassen und ein Antivirenprogramm über das System laufen lassen, am besten Escan

Nachtrag:

In einer neueren Version werden noch folgende Ordner im Systemordner erstellt (z.B: C:\Windows\System32)

%systemroot%\system32\shnlog.exe
%systemroot%\system32\intmon.exe
%systemroot%\system32\msmsgs.exe
%systemroot%\system32\hhk.dll
%systemroot%\system32\hp***.tmp <- *** sind zufällig generierte Zeichen.

Der .tmp Ordner wird als BHO installiert und „hijacked“ den Browser nach quicknavigate.com .

Nachdem es sich selbst installiert hat, werden alle vorhandenen BHOs gelöscht.
Demzufolge müßen auch die Programme, wie z.B. Acrobat Reader, neu installiert werden, damit diese wieder voll funktionsfähig sind.

Anm.
Vielen Dank an cronos für die Übersetzung.
Thread geschlossen und als 'Wichtig' markiert!

LG Cidre
S-Mod TB

********************Update 1*****************************


Eine neue Version namens stealthSWs114.h!dll hoax ist aufgetaucht.
Diese „hijackt“ den Browser nach h**p://www.startsearches.net/ :

Screenshot

Die Funktionsweise dieser Version basiert auf der bekannten und ist wie oben beschrieben zu löschen.
Auch wurde ein neues CLSID für die BHOs entdeckt. Dies erkennt man mittels Hijackthis an folgenden Einträgen:


O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpC776.tmp

oder

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp3C2E.tmp

Entsprechende Einträge sind mittels HijackThis zu fixen und die zugehörigen Dateien danach manuell zu löschen.


********************Update 2*****************************

Eine andere Version „wirbt“ für AntivirusGold.

Folgende Einträge werden von HijackThis erkannt:

O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\System32\LogFiles\A5281300.so
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\winnook.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\hookdump.exe

Diese sind mittels Hijackthis zu fixen. Auch hier müssen zugehörige Ordner selbstverständlich manuell gelöscht werden.

Beachte: Je nach verwendetem Betriebssystem können sich die Pfadnamen leicht unterscheiden.

Zusätzlich sind im Windows-Ordner noch folgende Dateien zu löschen:

desktop.html <-- diese gehört zu u.g. Screenshot
screen.html

Das penetrante Hintergrundbild ist wie folgt zu entfernen. :



Diese .reg Datei sollte den Desktop wieder nutzbar machen.

Zitat:

Dazu rechtsklick auf den Link, "speichern unter" wählen, danach die gespeicherte Datei aufrufen.Die folgende Frage mit ja beantworten.Veränderungen werden jetzt vorgenommen.

********************Update*****************************

Und wieder ist eine neue Version aufgetaucht. Erkennbar an folgendem HJT-Eintrag:

O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\zloader3.exe

Als Desktop-Hintergrund erscheint dieses Bild .
Das im ersten Post erwähnte Reg. File sollte den Desktop wieder nutzbar machen.

Dateien, die zusätzlich noch gelöscht werden müssen:

C:\WINDOWS\zloader3.exe
C:\WINDOWS\system32\oleadm.dll
C:\WINDOWS\system32\oleadm32.dll
C:\WINDOWS\system32\wp.bmp

Desweiteren sollte bei dieser Version ein Onlinscan mit Panda Active Scan durchgeführt werden.
Grund: Die zloader3.exe läd oleadm32.dll nach, die nach einem Reboot, die Original-vorhandene wininet.dll ersetzt. Der Active-Scan sollte diese Datei desinfizieren.
Beachte: Pandas Active Scan wird leider nur durch den IE unterstützt, da ein ActiveX-Steuerelement benötigt wird.
__________________
Anm.

Auf cronos Wunsch hin, wird diese manuelle und teils veralterte Entfernung des Trojaners Smitfraud.c aus der automatischen Anleitung entfernt. Wer die automatische Bereinigung trotzdem vorzieht, der kann diese hier nachlesen.

Gruß Cidre
S-Mod TB