Hallo!
Habe nach Angaben von forums.spybot.info die SmitFraudFix v2.62 durchgeführt. Im Anschluss wurde empfohlen auf dieser Seite das dadurch erstellte Logfile zu posten. Was ich hoffentlich hiermit tue
Nachdem ich hier gepostet habe soll ich "Einsetzen vonHJT - Einträge fixen: die Auswertung ist nun abgeschlossen" steht da. Was auch immer das bedeutet. Soll im Hijackthis - v1.99.1 Einträge im abgesicherten Modus entfernen. Heisst das jetzt ich warte hier im Forum auf Antwort und lösche dann im Fenster HJT - v1.99.1??? urg


Logfile of HijackThis v1.99.1
Scan saved at 13:59:07, on 20.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\sistray.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\HiJackThis 20606\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R3 - URLSearchHook: (no name) - {66E68ADD-42A0-59F7-22EB-2CE774C9F058} - SysEntry.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPGRADE\upgrade.exe" /restart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h**p://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://update.microsoft.com/w...?1133955733640
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h**p://update.microsoft.com/m...?1134023714015
O17 - HKLM\System\CCS\Services\Tcpip\..\{1460DF58-DCEF-4035-89D4-F7F7E12627F8}: NameServer = 85.255.113.142,85.255.112.119
O17 - HKLM\System\CS1\Services\Tcpip\..\{1460DF58-DCEF-4035-89D4-F7F7E12627F8}: NameServer = 85.255.113.142,85.255.112.119
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe

Hallo Nenu79,
lies dich hier durch und arbeite das ab :
http://www.trojaner-board.de/showthread.php?t=29926
...wir wollen mehr Log`s sehen...
Irrlicht

Auf dann ich werde mich bemühen. Einen grossen Respekt vor denen, die hier raus überhaupt schlau werden.



Hier Punkt 2, Inhalt der Datei C:/rapport.txt
Rest folgt, bin nicht so gut in den Sachen hier

SmitFraudFix v2.62

Scan done at 13:41:10,64, 20.06.2006
Run from C:\WINDOWS\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

So, das Clean up habe ich dann auch durchgeführt und das SmitFraudFix ja sowieso schon.
Jetzt kommen die 4 Logs aus der datfindbat:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: AC3F-3E9D

Verzeichnis von C:\WINDOWS\system32

20.06.2006 08:29 2.422 wpa.dbl
16.06.2006 13:05 234 FFASTLOG.TXT
12.06.2006 10:51 2.141 ikhcore.log
09.06.2006 03:19 5.967.776 MRT.exe
02.06.2006 11:04 57.384 avsda.dll
02.06.2006 00:11 421.888 pxdrv.dll
02.06.2006 00:11 108.544 pxcpyi64.exe
02.06.2006 00:11 109.568 pxinsi64.exe
02.06.2006 00:11 172.032 pxmas.dll
02.06.2006 00:11 372.736 px.dll
02.06.2006 00:11 56.832 pxcpya64.exe
02.06.2006 00:11 61.440 pxhpinst.exe
02.06.2006 00:11 56.320 pxinsa64.exe
02.06.2006 00:11 339.968 pxwave.dll
02.06.2006 00:11 28.672 vxblock.dll
02.06.2006 00:10 3.596.288 qt-dx331.dll
02.06.2006 00:09 53.248 dpuGUI10.dll
02.06.2006 00:09 90.112 dpl100.dll
02.06.2006 00:09 593.920 dpuGUI11.dll
02.06.2006 00:09 200.704 dtu100.dll
02.06.2006 00:09 344.064 dpus11.dll
02.06.2006 00:09 57.344 dpv11.dll
02.06.2006 00:09 294.912 dpu11.dll
02.06.2006 00:09 294.912 dpu10.dll
02.06.2006 00:08 700.416 divxdec.ax
02.06.2006 00:07 4.276 divxsm.tlb
02.06.2006 00:07 536.576 DivXsm.exe
02.06.2006 00:07 15.331 dsm_de.qm
02.06.2006 00:07 10.716 dsm_ja.qm
02.06.2006 00:07 15.172 dsm_fr.qm
02.06.2006 00:07 352.401 DivXMedia.ax
02.06.2006 00:07 1.044.480 libdivx.dll
02.06.2006 00:07 200.704 ssldivx.dll
02.06.2006 00:07 245.408 unicows.dll
02.06.2006 00:06 778.240 divx_xx07.dll
02.06.2006 00:06 778.240 divx_xx0c.dll
02.06.2006 00:06 761.856 divx_xx11.dll
02.06.2006 00:06 619.156 DivX.dll
02.06.2006 00:06 12.288 DivXWMPExtType.dll
02.06.2006 00:06 118.784 DivXCodecUpdateChecker.exe
02.06.2006 00:06 8.523 dpude.qm
02.06.2006 00:06 3.136 dtu_de.qm
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
23.05.2006 17:26 579.888 LegitCheckControl.dll
23.05.2006 17:25 402.736 WgaLogon.dll
23.05.2006 17:25 285.488 WgaTray.exe
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
29.04.2006 06:07 5.533.696 wmp.dll
18.04.2006 16:41 102.386 VGAunistlog.ini
05.04.2006 10:16 176.167 rmoc3260.dll
05.04.2006 10:16 5.632 pndx5032.dll
05.04.2006 10:16 6.656 pndx5016.dll
05.04.2006 10:16 278.528 pncrt.dll
27.03.2006 07:42 290.534 perfh007.dat
27.03.2006 07:42 289.968 perfh009.dat
27.03.2006 07:42 33.082 perfc009.dat
27.03.2006 07:42 39.976 perfc007.dat
27.03.2006 07:42 660.506 PerfStringBackup.INI
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
13.03.2006 12:54 103.032 FNTCACHE.DAT
03.03.2006 13:10 245 spupdwxp.log
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 426.496 msdtcprx.dll



2071 Datei(en) 390.144.542 Bytes
0 Verzeichnis(se), 4.015.710.208 Bytes frei
------------------------------------------------------


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: AC3F-3E9D

Verzeichnis von C:\DOKUME~1\info\LOKALE~1\Temp

20.06.2006 13:58 16.384 ~DF172E.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 4.015.738.880 Bytes frei

-----------------------------------------------------

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: AC3F-3E9D

Verzeichnis von C:\WINDOWS

20.06.2006 13:44 0 0.log
20.06.2006 13:43 1.837.428 WindowsUpdate.log
20.06.2006 13:41 2.568 setupact.log
20.06.2006 13:38 163.818 ntbtlog.txt
20.06.2006 13:36 32.546 SchedLgU.Txt
20.06.2006 13:34 372.955 SmitfraudFix.zip
20.06.2006 08:19 767 Tobit.ini
16.06.2006 14:15 31.555 spupdsvc.log
16.06.2006 14:01 726.118 iis6.log
16.06.2006 14:01 202.781 comsetup.log
16.06.2006 14:01 27.521 tabletoc.log
16.06.2006 14:01 27.630 ocmsn.log
16.06.2006 14:01 259.874 tsoc.log
16.06.2006 14:01 121.456 ntdtcsetup.log
16.06.2006 14:01 1.374 imsins.log
16.06.2006 14:01 8.596 KB917734.log
16.06.2006 14:01 69.014 wmsetup.log
16.06.2006 14:01 297.914 ocgen.log
16.06.2006 14:01 25.851 medctroc.Log
16.06.2006 14:01 92.975 netfxocm.log
16.06.2006 14:01 27.503 msgsocm.log
16.06.2006 14:01 519.936 FaxSetup.log
16.06.2006 14:01 189.070 msmqinst.log
16.06.2006 14:01 614.304 setupapi.log
16.06.2006 14:01 1.374 imsins.BAK
16.06.2006 14:01 14.222 KB918439.log
16.06.2006 14:00 14.580 KB917344.log
16.06.2006 14:00 14.421 KB917953.log
16.06.2006 14:00 14.074 KB911280.log
16.06.2006 14:00 18.109 KB916281.log
16.06.2006 13:59 19.992 updspapi.log
16.06.2006 13:59 11.553 KB914389.log
13.06.2006 15:37 67 ccolwiz.ini
13.06.2006 07:52 830 win.ini
12.06.2006 11:08 227 SYSTEM.INI
09.06.2006 07:48 164 wininit.ini
07.06.2006 11:01 2.875 mozver.dat
06.06.2006 07:17 5.100 WgaNotify.log
22.05.2006 12:15 216 wiadebug.log
22.05.2006 07:59 50 wiaservc.log
15.05.2006 17:55 9.808 EventSystem.log
12.05.2006 12:20 1.912 PROPLAN2.INI
10.05.2006 08:00 13.201 KB913580.log
27.04.2006 08:00 11.101 KB900485.log
19.04.2006 12:19 217 TOBITADD.INI
19.04.2006 12:07 2.997 OEWABLog.txt
19.04.2006 11:22 227 SYSTEM.UNV
18.04.2006 17:03 9.963 KB901190.log
18.04.2006 08:01 15.502 KB908531.log
18.04.2006 08:01 14.745 KB911562.log
18.04.2006 08:01 16.675 KB912812.log
18.04.2006 08:00 16.940 KB911565.log
18.04.2006 08:00 10.611 KB911567.log





215 Datei(en) 18.011.743 Bytes
0 Verzeichnis(se), 4.015.734.784 Bytes frei
----------------------------------------------------------


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: AC3F-3E9D

Verzeichnis von C:\

20.06.2006 15:31 0 sys.txt
20.06.2006 15:31 10.914 windows.txt
20.06.2006 15:31 10.914 system.txt
20.06.2006 15:31 284 temp.txt
20.06.2006 15:30 284 systemtemp.txt
20.06.2006 15:30 101.080 system32.txt
20.06.2006 15:29 1.317 c.txt
20.06.2006 13:43 805.306.368 pagefile.sys
20.06.2006 13:41 857 rapport.txt
12.06.2006 10:16 7.416 caavsetup.log
09.06.2006 09:38 1.412.162 swfinst.txt
19.04.2006 11:22 211 boot.ini
03.03.2006 12:48 47.564 NTDETECT.COM
03.03.2006 12:48 251.184 ntldr
25.01.2006 15:31 323.584 ffastun.ffo
25.01.2006 15:31 5.142 ffastun.ffa
25.01.2006 15:31 724.992 ffastun0.ffx
25.01.2006 15:31 196.608 ffastun.ffl

25 Datei(en) 808.408.086 Bytes
0 Verzeichnis(se), 4.015.722.496 Bytes frei

Ich bin sehr traurig,
keiner sagt mir mehr was zu meinen logfiles. Ist jetzt alles gut???
Im PC kann ich zur Zeit keine Probleme feststellen, aber das kann sich ja nun auch ganz schnell wieder ändern...
Irrlicht???

Zitat:

Zitat von Nenu79

bin nicht so gut in den Sachen hier

+

Zitat:

Zitat von Nenu79

Im PC kann ich zur Zeit keine Probleme feststellen, aber das kann sich ja nun auch ganz schnell wieder ändern...

Wow, Applaus. Ich lese das erste mal eine Art selbsteinsicht nach einer vermeintlichen Trojaner-Infektion

Es handelt sich hierbei allerdings um eine Smidfraut-Variante, also eine art "Fake-Trojaner", für dessen Entfernung du ein Programm kaufen solltest (so will es häufig das kleine rechts unten auftauchende Fenster )

Aber wir wollen das doch nicht
Es handelt sich also um keine wirkliche, gefährliche Trojaner-Infektion.

mfg,
Markus

Edit: Mein Rene-gad, irrlicht wird sich schon melden

@Nenu79
Sorry, ich kenne mich mit der Auswertung dieser Logs nicht wirklich aus . Versuche mal noch den Online-Scanner von Kaspersky anzuwenden.
Bevor bitte schalte die Systemwiederherstellung ab und mach Deinen PC sauber (s. Link ClearProg in meiner Signatur)

@irrlicht: Von einer obskuren Seite ein "Hilfsprogramm" herunterzuladen, um einen Trojaner zu entfernen, halte ich nich für eine empfehlenswerte Lösung.