| |
| |||||||
Log-Analyse und Auswertung: smitfraud-cWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
09.12.2005, 12:03
| #1 |
 |  smitfraud-c guten tag ich hab hier ein kleines problemchen das ich nicht loswerde. spybot zeigt mir immer Smitfraud-C. an. ich hab schon einiges probiert es loszuwerden, doch beim neustart wird es immer wieder angezeigt, und spybot selber kann ihn sowieso nicht loswerden. hier mein HijackThis logfile: Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 12:01:45, on 09.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\sstray.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\Erich\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file) O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107520450464 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe lg |
|
09.12.2005, 12:07
| #2 |
| | smitfraud-c Alle Vorschläge müssen im abgesicherten Modus Modus durchgeführt werden. Nutzer von Windows XP oder ME sollten auch noch, wie im vorherigen Link beschrieben, die Systemwiederherstellung abschalten.
__________________Zuallererst sollten folgende Programme über Systemsteuerung->Software falls vorhanden deinstalliert werden: Security IGuard Virtual Maid Search Maid Wichtig : Bitte beachten, dass für die nächsten Schritte alle Dateien angezeigt werden müssen: Zitat: Windows Explorer starten (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Als nächstes ist der Taskmanager über die Tastenkombination Strg+Alt+Entf aufzurufen. Sollten die etwas weiter unten genannten Prozesse laufen, sind diese zu beenden. Mittels Killbox sind nun folgende Dateien zu löschen: C:\wp.exe C:\wp.bmp C:\Windows\sites.ini C:\Windows\popuper.exe C:\Windows\System32\helper.exe C:\Windows\System32\intmonp.exe C:\Windows\System32\msmsgs.exe C:\Windows\System32\ole32vbs.exe C:\Windows\system32\msole32.exe C:\bsw.exe Dazu sollte wie folgt vorgegangen werden: Zitat: Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\wp.exe -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt. Nach dem Neustart ist wieder -wie oben beschrieben- in den abgesicherten Modus zu wechseln. Hier bitte auch wieder vergewissern, dass alle Dateien (s.o.) angezeigt werden. Falls vorhanden, sind jetzt noch folgende Ordner zu löschen: C:\Program Files\Search Maid C:\Program Files\Virtual Maid C:\Windows\System32\Log Files C:\Program Files\Security IGuard Eine Reg.Datei, welche die meisten Registry-Veränderungen rückgängig macht, befindet sich hier. Dazu Rechtsklick auf diesen Link, 'speichern unter' wählen, danach die gespeicherte Datei aufrufen. Die folgende Frage mit 'JA' beantworten. Die erforderlichen Veränderungen werden jetzt vorgenommen. Ist dieser Punkt abgearbeitet muss der Computer neugestartet werden. Wieder in den abgesicherten Modus wechseln. Nun das Programm Hoster öffnen. "Restore Original Hosts" wählen, mit OK bestätigen. Abschliessend, die hier von unserem Foren-Moderator Cidre genannten Vorschläge durchführen, das Programm CleanUp laufen lassen und ein Antivirenprogramm über das System laufen lassen, am besten Escan. Nachtrag: In einer neueren Version werden noch folgende Ordner im Systemordner erstellt (z.B: C:\Windows\System32) %systemroot%\system32\shnlog.exe %systemroot%\system32\intmon.exe %systemroot%\system32\msmsgs.exe %systemroot%\system32\hhk.dll %systemroot%\system32\hp***.tmp <- *** sind zufällig generierte Zeichen. Der .tmp Ordner wird als BHO (Browser Helper Object) installiert und „hijacked“ den Browser nach quicknavigate.com . Nachdem es sich selbst installiert hat, werden alle vorhandenen BHOs gelöscht. Demzufolge müssen auch die Programme, wie z.B. Acrobat Reader, neu installiert werden, damit diese wieder voll funktionsfähig sind. |
|
| Themen zu smitfraud-c |
| adobe, antivir, bho, dateien, desktop, einstellungen, excel, explorer, firefox, firewall, hijack, hijackthis, hijackthis logfile, immer wieder, internet, internet explorer, logfile, microsoft, mozilla, mozilla firefox, neustart, programme, security, security suite, software, system, windows, windows xp |
Linear-Darstellung
