Hallo,

irgendwie lahmt mein PC und Norton Antivirenschutz schaltet sich aus.
Ist mein System noch zu retten?
Hier das Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 21:45:24, on 14.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\GEARSec.exe
F:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
F:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
F:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
F:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\1131017371\ee\AOLSoftware.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
F:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
C:\Programme\FileBX\FileBX.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Cheffe\LOKALE~1\Temp\mexe.com
C:\DOKUME~1\Cheffe\LOKALE~1\Temp\kavss.exe
D:\Programme\AOL 9.0\waol.exe
D:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\system32\notepad.exe
D:\Programme\Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
D:\Download\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1131017371\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 9.0] F:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "F:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - Startup: FileBox eXtender.lnk = C:\Programme\FileBX\FileBX.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe Reader\Reader\reader_sl.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DE17C40-862F-4006-9BFB-D68EE64E718E}: NameServer = 205.188.146.145
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - F:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - F:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - F:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - F:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - F:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe



Grüssle Fleur

Hier meine eScan Virus Log-Info:

Wed Feb 15 12:33:49 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Wed Feb 15 12:33:50 2006 => Offending file found: C:\WINDOWS\gpinstall.exe
Wed Feb 15 12:33:50 2006 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.

Wed Feb 15 12:33:51 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Cheffe\Anwendungsdaten\acccore\caches\bart\1024
Wed Feb 15 12:33:51 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.

Wed Feb 15 12:33:55 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\d_aol 9.0\idb\bart\1024
Wed Feb 15 12:33:55 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.

Wed Feb 15 12:33:56 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gtek\gtupdate\aupdate\channels\channels.ini
Wed Feb 15 12:33:56 2006 => System found infected with clipgenie Spyware/Adware (channels.ini)! Action taken: No Action Taken.

Wed Feb 15 12:33:56 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat
Wed Feb 15 12:33:56 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.

Wed Feb 15 12:33:57 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\norton systemworks premier\norton utilities\norton disk doctor.lnk
Wed Feb 15 12:33:57 2006 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: No Action Taken.

Wed Feb 15 12:33:57 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\norton systemworks premier\norton utilities\norton disk doctor.lnk
Wed Feb 15 12:33:57 2006 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: No Action Taken.

Wed Feb 15 12:33:57 2006 => Offending file found: C:\WINDOWS\start.exe
Wed Feb 15 12:33:57 2006 => System found infected with cws.smartsearch Browser Hijacker (C:\WINDOWS\start.exe)! Action taken: No Action Taken.


Ist auf mein System nun zugegriffen worden?
Oder kann man das so nicht sehen...

Es geht mir nur darum auf welche Art ich meine Daten sichern muss, da ich das System neu aufsetzten will und keine Schädlinge mitsichern möchte!

Bitte, bitte, wenigstens ne kurze Antwort wie schlimm das Zeugs ist.


Grüssle Fleur

Bitte, bitte nur ne kurze Auskunft.
schieb, schieb

Oder sagt mir doch wenigstens weshalb ihr nicht antwortet.
Hab ich gegen irgendwelche Boardgepflogenheiten verstossen?

Grüssle Fleur

Du bist auf dem besten Weg dazu.........
Drängler sind nicht gern gesehen !
Hilfe zur Selbsthilfe :Google danach !!> :smitfraud variant Browser Hijacker
Irrlicht

Zitat:

Zitat von irrlicht

Hilfe zur Selbsthilfe :Google danach !!> :smitfraud variant Browser Hijacker
Irrlicht

Hab ich gemacht, nur hilft mir das was ich finde nicht weiter.
Mein Englisch ist zu schlecht und in deitsch hab ich nix gr0ß drüber gefunden.
Aber dankeschön, dass ich jetzt zumindest weiss um welchen der Einträge ich mir Sorgen machen muss.

Bekomm ich den mit eScan weg? Ein Freund hat die Vollversion.

Grüssle Jutta

Hallo Fleurxxx,
wenn ich mir dein Anmeldedatum, deine Beiträge sowie deine verseuchte Kiste anschaue,komme ich zu dem Schluß,das du absolut lernressistent bist.
Wer solange wie du hier dabei ist sollte doch schon mal einen Blick in die "Anleitungen ,FAQ,Links "geworfen haben und danach gehandelt haben.Das du nach so langer Zeit der Mitgliedschaft noch immer eine verseuchte Kiste hast ist unglaublich.
Irrlicht

Was haben sie Dir denn ins Essen getan??!

Ich hab mein System nach der Anleitung von der FAQ aufgesetzt, leider zieh ich mir durch "Eseleien" immer mal wieder was.

Aber ist denn nun mein System sehr verseucht oder nicht?
Was ich bei Google etc. gefunden habe, sind die doch alle "relativ" harmlos.
Nur über die smitfraud Variante find ich nichts richtiges.

Außerdem wüßt ich doch einfach gern wie schlimm die Dinger denn nun sind. Sind das alles Trojaner oder was hab ich denn von denen zu befürchten?
Also im Klartext... hatte jemand Zugriff auf meine Daten??

Nochmal zu Dir und Deiner Art wildfremde Menschen gleich persönlich anzumachen....wieso gibst Du mir nicht lieber ne gescheite Auskunft? Würd doch auch nicht mehr Mühe kosten.

Erster Link bei Google :
http://www.trojaner-info.de/hijacker/smitfraud.html

Vielen Dank!

War mir die ganze Zeit nicht sicher ob es der ist, da da nichts von Hijacker steht.

Nur noch eine Frage...ist mein System denn nun kompromitiert?
Ist Smitfraud ein Backdoortrojaner?

kannst ja den entwickler suchen und um ein info-programm bitten ...

Mann seid ihr hier alle bissig und grosskotzig geworden.
Wieso macht ihrs denn dann überhaupt noch, wenn ihr nur angepisst seid über das Nichtwissen und die Uninformiertheit von uns "Normalos"?

Stellt Euch vor, dass es Menschen gibt, die nicht die Zeit, die Muse oder auch die Möglichkeit haben, stunden-, Quatsch, tagelang mit der Infosuche über Trojaner u.s.w., bei Google, etc., zu verbringen.
Früher hab ich mich bei Problemen an Trojaner Board gewendet und dort zumeist sehr nette und vor allem professionelle Hilfe bekommen. Ich war immer sehr begeistert über das Wissen und die Hilfsbereitschaft der User hier und hab das Board stehts überall gelobt und weiter empfohlen.

Langsam aber hab ich das Gefühl, dass hier ein deutlich anderer Wind weht, was ich überaus Schade finde!
Das einzige was an Antworten kommt, sind irgendwelche Spitzfindigkeiten oder teils auch beleidigende Kommentare.

Da ich momentan weder Lust noch Zeit habe, mich noch nach nem anderen Forum umzuschauen, werde ich wohl jemanden bitten müssen, sich meinem Problem vor Ort anzunehmen.

Bin echt entäuscht....

Fleur

Wollte übrigens gerade den von Irrlicht angegebenen Link befolgen und die Dateien mit der Killbox löschen, jedoch kann ich nirgens auch nur eine der Dateien finden.
Vielmehr noch, find ich überhaupt keine der dort angegebenen Dateien, Ordner oder auch Programme auf meinem PC!

Seltsam...
Ach und ja, ich habe die geschützten Systemdateien und alle Ordner/Dateien anzeigen, in den Ordneroptionen, aktiviert.

Wenn man die find.bat, die in der eScan-Anleitung erwähnt wird, benutzt, wird das ganze schon etwas durchschaubarer:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Feb 15 12:33:49 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Wed Feb 15 12:33:50 2006 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.
Wed Feb 15 12:33:56 2006 => System found infected with clipgenie Spyware/Adware (channels.ini)! Action taken: No Action Taken.
Wed Feb 15 12:33:56 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Wed Feb 15 12:33:57 2006 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: No Action Taken.
Wed Feb 15 12:33:57 2006 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: No Action Taken.
Wed Feb 15 12:33:57 2006 => System found infected with cws.smartsearch Browser Hijacker (C:\WINDOWS\start.exe)! Action taken: No Action Taken.
Wed Feb 15 12:33:51 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.
Wed Feb 15 12:33:55 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Wed Feb 15 12:33:50 2006 => Offending file found: C:\WINDOWS\gpinstall.exe
Wed Feb 15 12:33:56 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gtek\gtupdate\aupdate\channels\channels.ini
Wed Feb 15 12:33:56 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat
Wed Feb 15 12:33:57 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\norton systemworks premier\norton utilities\norton disk doctor.lnk
Wed Feb 15 12:33:57 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\norton systemworks premier\norton utilities\norton disk doctor.lnk
Wed Feb 15 12:33:57 2006 => Offending file found: C:\WINDOWS\start.exe
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Wed Feb 15 12:33:51 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Cheffe\Anwendungsdaten\acccore\caches\bart\1024
Wed Feb 15 12:33:55 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\d_aol 9.0\idb\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Mal ne Frage. Was ist das hier für ein Programm/Ordner?
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gtek\

Zitat:

Zitat von MightyMarc

Mal ne Frage. Was ist das hier für ein Programm/Ordner?
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gtek\

Hab ich leider keine Ahnung!

Genausowenig, wie ich nun fortfahren oder vielmehr anfangen soll den Smitfraud loszuwerden.
Mit dem Link von Irrlicht komm ich nicht weiter, da wie bereits erwähnt, die Dateien und Programme die ich laut dieser Anleitung löschen soll, auf meinem PC überhaupt nicht existent sind.