|
Log-Analyse und Auswertung: Smitfraud Problem und mein HijackThisWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.10.2006, 19:29 | #1 |
| Smitfraud Problem und mein HijackThis Hallo, ich bin ein rechter PC Laie und habe Probleme mit Smitfraud-C. Adaware erkennt diesen zwar nicht, aber bei Spybot kommt seit Montag dieser Hinweis. Wenn ich das Internet starte, kommt eine Virenmeldung des Internet Explorers. Wobei mir mein AntiVir sagt, es sei kein Virus da (die kostenfreie Version). Nun hoffe ich alles richtig gemacht zu haben und euch ein korrektes Hijack zu schicken. Vielleicht gibts ja nen guten Tip für mich!! Bitte bedenken, dass ich mich mit dem PC Slang nicht auskenne.... Vielen Dank, Silke Logfile of HijackThis v1.99.1 Scan saved at 20:09:22, on 19.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\issearch.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\D-Link\Air USB Utility\AirCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PestTrap] C:\Program Files\PestTrap\PestTrap.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160421425318 O21 - SSODL: gaonic - {f31aee4a-1530-4fef-8537-79c6973bff9a} - C:\WINDOWS\System32\tazth.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
19.10.2006, 22:30 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Smitfraud Problem und mein HijackThis Mit Killbox und der Option "Delete on Reboot" nacheinander diese Dateien löschen:
__________________C:\WINDOWS\system32\issearch.exe C:\WINDOWS\System32\tazth.dll C:\WINDOWS\system32\ixt0.dll ERST DANN den Rechner neustarten lassen. Es kommt nämlich eine Meldung mit "...Do you want to reboot now?", dort klickste auf nein, erst wenn Du die letzte Datei mit dieser Option gelöscht hast rebootest Du, also klickst bei der Meldung auf ja. Wenn Windows wieder oben ist, erstellst und postest ein neues HJT-Logfile. Killbox legt auch Sicherheitskopien der gelöschten Dateien an, und zwar unter c:\!killbox\. Werte die darin liegenden Dateien bei Virustotal aus und poste das Ergebnis jeder Datei.
__________________ |
20.10.2006, 07:47 | #3 |
| Smitfraud Problem und mein HijackThis Hallo Cosinus,
__________________erst mal vielen Dank fürs mitdenken! Ich habe mir die Killbox runtergeladen, aber nun das Problem, dass diese den ersten Pfad nicht findet (habe das manuell versucht, im Ordner rumgesucht und auch die Suchfunktion ausprobiert). Vielleicht hast du nen Tip für mich, wie ich da doch noch ran komme! Danke, Silke |
20.10.2006, 08:14 | #4 |
| Smitfraud Problem und mein HijackThis Hallo, vielleicht war ich ja zu schnell beim Aufgeben - hab jetzt noch mal ein wenig rumprobiert und nun dieses Ergebnis bekommen. Sieht das besser aus? Danke, Silke Logfile of HijackThis v1.99.1 Scan saved at 09:11:35, on 20.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\D-Link\Air USB Utility\AirCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PestTrap] C:\Program Files\PestTrap\PestTrap.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160421425318 O21 - SSODL: gaonic - {f31aee4a-1530-4fef-8537-79c6973bff9a} - C:\WINDOWS\System32\tazth.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
20.10.2006, 14:22 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Smitfraud Problem und mein HijackThis Dann kopier mal nacheinander die kompletten Pfade der von mir erwähnten Dateien in das "Adressefeld" von Killbox hinein und gehe wie oben erwähnt vor.
__________________ Logfiles bitte immer in CODE-Tags posten |
20.10.2006, 18:11 | #6 |
| Smitfraud Problem und mein HijackThis Hallo Cosinus, nun bin ich wohl doch mit meinem Latein am Ende. Ich finde in meiner !Killbox nämlich nur ein kb Textdokument. Das ist wohl nichts, womit ich wirklich rausfinden kann, was da schief gegangen ist. Oder meinst du die Pocket Killbox?? Wenn ja, wie gehe ich da weiter, wenn ich die Pfade eingegeben habe? Liebe Grüße Silke |
20.10.2006, 19:43 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Smitfraud Problem und mein HijackThis Ich meine dieses Killbox. Du kopierst die Adresse der Datei ins Feld hinein, wählst unten die Option "Delete on reboot" und klickst dann auf das rote runde Schild mit dem weißen X. Die darauf folgende Frage mit Nein beantworten. Das machst Du mit jeder der drei Dateien und startest dann den Rechner neu.
__________________ Logfiles bitte immer in CODE-Tags posten |
21.10.2006, 06:55 | #8 |
| Smitfraud Problem und mein HijackThis Hallo Cosinus, danke für die Geduld! Ich habe bei Virustotal dieses Ergebnis erzielt, als ich als die meine !Killbox durchsuchen lies. Was meinst du dazu? Liebe Grüße Silke Antivirus Version Update Result AntiVir 7.2.0.32 10.20.2006 no virus found Authentium 4.93.8 10.21.2006 no virus found Avast 4.7.892.0 10.20.2006 no virus found AVG 386 10.20.2006 no virus found BitDefender 7.2 10.21.2006 no virus found CAT-QuickHeal 8.00 10.20.2006 no virus found ClamAV devel-20060426 10.20.2006 no virus found DrWeb 4.33 10.21.2006 no virus found eTrust-InoculateIT 23.73.32 10.21.2006 no virus found eTrust-Vet 30.3.3146 10.20.2006 no virus found Ewido 4.0 10.20.2006 no virus found Fortinet 2.82.0.0 10.21.2006 no virus found F-Prot 3.16f 10.21.2006 no virus found F-Prot4 4.2.1.29 10.21.2006 no virus found Ikarus 0.2.65.0 10.20.2006 no virus found Kaspersky 4.0.2.24 10.21.2006 no virus found McAfee 4878 10.20.2006 no virus found Microsoft 1.1603 10.21.2006 no virus found NOD32v2 1.1820 10.20.2006 no virus found Norman 5.90.23 10.20.2006 no virus found Panda 9.0.0.4 10.20.2006 no virus found Sophos 4.10.0 10.15.2006 no virus found TheHacker 6.0.1.102 10.20.2006 no virus found UNA 1.83 10.20.2006 no virus found VBA32 3.11.1 10.20.2006 no virus found VirusBuster 4.3.7:9 10.20.2006 no virus found Aditional Information File size: 875 bytes MD5: e1b50025e7e5ecef82ffcb2992756e1a SHA1: 1ae63d9237ff6381417e475b86b62c9a90b1e9e3 |
22.10.2006, 00:43 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Smitfraud Problem und mein HijackThis Das scheint die Logdatei von Killbox zu sein - diese auszuwerten bringt genau garnichts, denn das ist eine einfache Textdatei, die keinerlei Gefahr darstellen kann. Sind denn noch andere Dateien außer der killbox.log in diesem Ordner zu finden? Achte darauf, dass alle Dateien angezeigt werden (siehe Signatur).
__________________ Logfiles bitte immer in CODE-Tags posten |
22.10.2006, 06:40 | #10 |
| Smitfraud Problem und mein HijackThis Wie blöd von mir! Aber auf meinem Rechner ist tatsächlich nur diese Logdatei. Soll ich die Killbox noch mal neu installieren oder gibts `ne andere Möglichkeit, an die brauchbaren Möglichkeiten zu kommen? Vielen Dank an dich!!! Silke |
22.10.2006, 16:02 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Smitfraud Problem und mein HijackThis Gehen wir das mal anders an, denn womöglich kommst Du an diese Dateien nicht einfach so heran. Mach mal einen Check mit eScan und Blacklight. Die Anleitung zum eScan findest Du in meiner Signatur. Poste die Logs.
__________________ Logfiles bitte immer in CODE-Tags posten |
23.10.2006, 17:23 | #12 |
| Smitfraud Problem und mein HijackThis Hallo Cosinus, ich kapituliere!!! Keine Ahnung, wie clever das ist, aber ich glaube, das wird langsam ne Nummer zu groß für mich. Spybot findet meinen Smitfraud nun auch nicht mehr, sodass ich hoffe, das Problem ist schon beseitigt. Trotzdem vielen Dank für die Mühe, würde dir ja am liebsten mal ein Bier ausgeben. Silke |
23.10.2006, 19:31 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Smitfraud Problem und mein HijackThis Das ist keine gute Idee. Einfach nur zu hoffen, dass das System sauber ist bringt einfach nichts. Wenn Dir das zu mühsam ist, dann solltest Du lieber einen örtlichen PC-Service konsultieren. Oder setzt einfach neu auf...
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Smitfraud Problem und mein HijackThis |
adobe, antivir, avira, besitzer, bho, button, dateien, dsl, fraud, hijack, hijackthis, hotkey, internet, messenger, microsoft, monitor, problem, probleme, programme, smitfraud, system, system32, temp, usb, virus, windows, windows xp |