|
Log-Analyse und Auswertung: Smitfraud nachhaltig entfernt?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.09.2005, 18:32 | #1 |
| Smitfraud nachhaltig entfernt? Bin der Anleitung gefolgt habe allerdings folgende dDateien vor Spybot und AD- Aware gelöscht. Schlimm? C:\WINDOWS\SYSTEM\GKMK.DLL C:\WINDOWS\SYSTEM\intel32.exe C:\Programme\PSGuard\ Logfile of HijackThis v1.99.1 Scan saved at 19:15:58, on 13.09.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2614.3500) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\PDESK\PDESK.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\WINDOWS\LOADQM.EXE C:\WINDOWS\SYSTEM\HPZTSB05.EXE C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= Tagged + Infected von Escan: Thu Sep 08 23:49:58 2005 => Scanning File C:\WINDOWS\Desktop\AntiVirprogramme\Tagged.txt [**] Thu Sep 08 23:51:43 2005 => File C:\WINDOWS\weihnachten[eft-10018,1,lay3].exe tagged as "not-a-virus:Porn-Dialer.Win32.Intexdial". Action Taken: No Action Taken. Thu Sep 08 23:55:05 2005 => File C:\WINDOWS\SYSTEM\WININET.DLL infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken Thu Sep 08 23:47:27 2005 => File C:\WINDOWS\Desktop\Von CD\Frgbezgs\ss_stopsign.exe infected by "Trojan-Downloader.Win32.Wren.k" Virus! Action Taken: No Action Taken. Thu Sep 08 23:47:55 2005 => File C:\WINDOWS\Desktop\Sabine's Ordner\adobe.exe infected by "Virus.Win32.Tenga.a" Virus! Action Taken: No Action Taken. (Hier habe ich den ordnerNamen geändert) Und wie kriege ich jetzt noch den Scheiss weg? Programme updaten und nochmal neu? Gruß Ecrit2 |
13.09.2005, 20:05 | #2 |
| Smitfraud nachhaltig entfernt? Hallo Ecrit2,
__________________lösche folgende Dateien manuell oder wie hier unter "Einsetzen von eScan – Beseitigung der Malware" beschrieben (Total Commander oder Killbox): C:\WINDOWS\weihnachten[eft-10018,1,lay3].exe C:\WINDOWS\Desktop\Von CD\Frgbezgs\ss_stopsign.exe C:\WINDOWS\Desktop\Sabine's Ordner\adobe.exe Bezüglich der "wininet.dll" gehe wie folgt vor: http://tkcity12.tk.funpic.de/windowsttt/win-dll.php <-- thx Chris14 Folgende Einträge mit HijackThis fixen: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= Wichtig ist ebenfalls Dein System, insbesondere den IExplorer, so schnell als möglich upzudaten. Verwenden zukünftig, wenn Du es noch nicht praktizierst, zum Surfen eien sicheren Browser . Den IExplorer nur noch zum regelmäßigen Updaten benutzen. dartus
__________________ |
13.09.2005, 20:34 | #3 |
| Smitfraud nachhaltig entfernt? Hallo,
__________________@darkus habe schon seit 4 Tagen Mozilla. Habe IE schon gelöscht, das Logfile ist von heute, verstehe also auch nicht warum er den IE anzeigt obwohl schon gelöscht. Werde Anleitung verfolgen. Berichte morgen.Bis dahin wird wohl noch nicht editiert sein.(Bis morgen). Kann nicht früher versuchen zu beheben. Kannst du bitte morgen Abend noch mal die Beiträge in diesem Thread checken. Vielen Dank Ecrit2 |
13.09.2005, 20:51 | #4 |
| Smitfraud nachhaltig entfernt? Hallo Ecrit2, den IExplorer kann man zwar löschen, aber so einfach geht das nicht. Zumindest wird er fürs Updaten des Systems gebraucht. Ab Juni 2006 (wenn WIN98 nicht mehr supportet wird) kannst Du versuchen ihn zu löschen. dartus
__________________ Kein Support per PN |
Themen zu Smitfraud nachhaltig entfernt? |
adobe, askbar, bho, desktop, entfernt?, escan, explorer, fraud, google, hijack, hijackthis, infected, internet, internet explorer, microsoft, msn, neu, ordner, programme, registry, rundll, schlimm?, seiten, smitfraud, software, system, temp, usb, windows, windows\temp |