Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: smitfraud-c

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 09.12.2005, 12:03   #1
PaRaGoD
 
smitfraud-c - Standard

smitfraud-c



guten tag

ich hab hier ein kleines problemchen das ich nicht loswerde.
spybot zeigt mir immer Smitfraud-C. an. ich hab schon einiges probiert es loszuwerden, doch beim neustart wird es immer wieder angezeigt, und spybot selber kann ihn sowieso nicht loswerden.
hier mein HijackThis logfile:

Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 12:01:45, on 09.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Erich\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - 
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107520450464
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - 
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
         
weiss jemand von euch wie ich dieses ding loswerden kann?
lg

Alt 09.12.2005, 12:07   #2
Head
 
smitfraud-c - Standard

smitfraud-c



Alle Vorschläge müssen im abgesicherten Modus Modus durchgeführt werden. Nutzer von Windows XP oder ME sollten auch noch, wie im vorherigen Link beschrieben, die Systemwiederherstellung abschalten.

Zuallererst sollten folgende Programme über Systemsteuerung->Software falls vorhanden deinstalliert werden:

Security IGuard
Virtual Maid
Search Maid

Wichtig : Bitte beachten, dass für die nächsten Schritte alle Dateien angezeigt werden müssen:

Zitat:
Windows Explorer starten (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"


Als nächstes ist der Taskmanager über die Tastenkombination Strg+Alt+Entf aufzurufen.
Sollten die etwas weiter unten genannten Prozesse laufen, sind diese zu beenden.
Mittels Killbox sind nun folgende Dateien zu löschen:

C:\wp.exe
C:\wp.bmp
C:\Windows\sites.ini
C:\Windows\popuper.exe
C:\Windows\System32\helper.exe
C:\Windows\System32\intmonp.exe
C:\Windows\System32\msmsgs.exe
C:\Windows\System32\ole32vbs.exe
C:\Windows\system32\msole32.exe
C:\bsw.exe

Dazu sollte wie folgt vorgegangen werden:

Zitat:
Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\wp.exe -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.


Nach dem Neustart ist wieder -wie oben beschrieben- in den abgesicherten Modus zu wechseln. Hier bitte auch wieder vergewissern, dass alle Dateien (s.o.) angezeigt werden.
Falls vorhanden, sind jetzt noch folgende Ordner zu löschen:

C:\Program Files\Search Maid
C:\Program Files\Virtual Maid
C:\Windows\System32\Log Files
C:\Program Files\Security IGuard

Eine Reg.Datei, welche die meisten Registry-Veränderungen rückgängig macht, befindet sich hier. Dazu Rechtsklick auf diesen Link, 'speichern unter' wählen, danach die gespeicherte Datei aufrufen. Die folgende Frage mit 'JA' beantworten. Die erforderlichen Veränderungen werden jetzt vorgenommen.

Ist dieser Punkt abgearbeitet muss der Computer neugestartet werden. Wieder in den abgesicherten Modus wechseln. Nun das Programm Hoster öffnen. "Restore Original Hosts" wählen, mit OK bestätigen.

Abschliessend, die hier von unserem Foren-Moderator Cidre genannten Vorschläge durchführen, das Programm CleanUp laufen lassen und ein Antivirenprogramm über das System laufen lassen, am besten Escan.

Nachtrag:

In einer neueren Version werden noch folgende Ordner im Systemordner erstellt (z.B: C:\Windows\System32)

%systemroot%\system32\shnlog.exe
%systemroot%\system32\intmon.exe
%systemroot%\system32\msmsgs.exe
%systemroot%\system32\hhk.dll
%systemroot%\system32\hp***.tmp <- *** sind zufällig generierte Zeichen.

Der .tmp Ordner wird als BHO (Browser Helper Object) installiert und „hijacked“ den Browser nach quicknavigate.com .

Nachdem es sich selbst installiert hat, werden alle vorhandenen BHOs gelöscht.
Demzufolge müssen auch die Programme, wie z.B. Acrobat Reader, neu installiert werden, damit diese wieder voll funktionsfähig sind.
__________________


Antwort

Themen zu smitfraud-c
adobe, antivir, bho, dateien, desktop, einstellungen, excel, explorer, firefox, firewall, hijack, hijackthis, hijackthis logfile, immer wieder, internet, internet explorer, logfile, microsoft, mozilla, mozilla firefox, neustart, programme, security, security suite, software, system, windows, windows xp




Ähnliche Themen: smitfraud-c


  1. Smitfraud-C.
    Mülltonne - 03.11.2008 (0)
  2. Smitfraud
    Log-Analyse und Auswertung - 12.06.2008 (2)
  3. Smitfraud-C.
    Log-Analyse und Auswertung - 27.04.2008 (2)
  4. Smitfraud
    Log-Analyse und Auswertung - 13.03.2008 (13)
  5. Smitfraud und Co.
    Log-Analyse und Auswertung - 23.04.2007 (2)
  6. Smitfraud
    Plagegeister aller Art und deren Bekämpfung - 29.03.2006 (1)
  7. Smitfraud
    Log-Analyse und Auswertung - 06.12.2005 (11)
  8. Smitfraud c. und Doubleclick ...
    Log-Analyse und Auswertung - 29.10.2005 (16)
  9. Smitfraud+PSGuard
    Log-Analyse und Auswertung - 21.09.2005 (4)
  10. smitfraud.c logfiles
    Log-Analyse und Auswertung - 27.08.2005 (4)
  11. Smitfraud C.
    Plagegeister aller Art und deren Bekämpfung - 27.07.2005 (1)
  12. Smitfraud und Co.....
    Plagegeister aller Art und deren Bekämpfung - 24.07.2005 (1)
  13. Smitfraud.c
    Plagegeister aller Art und deren Bekämpfung - 21.07.2005 (1)
  14. Smitfraud.c
    Plagegeister aller Art und deren Bekämpfung - 07.07.2005 (12)
  15. smitfraud????
    Log-Analyse und Auswertung - 04.07.2005 (11)
  16. smitfraud entfernt
    Log-Analyse und Auswertung - 27.06.2005 (6)
  17. smitfraud.c
    Plagegeister aller Art und deren Bekämpfung - 30.05.2005 (4)

Zum Thema smitfraud-c - guten tag ich hab hier ein kleines problemchen das ich nicht loswerde. spybot zeigt mir immer Smitfraud-C. an. ich hab schon einiges probiert es loszuwerden, doch beim neustart wird es - smitfraud-c...
Archiv
Du betrachtest: smitfraud-c auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.