Hallo,
ich bin ein rechter PC Laie und habe Probleme mit Smitfraud-C.
Adaware erkennt diesen zwar nicht, aber bei Spybot kommt seit Montag dieser Hinweis. Wenn ich das Internet starte, kommt eine Virenmeldung des Internet Explorers. Wobei mir mein AntiVir sagt, es sei kein Virus da (die kostenfreie Version).
Nun hoffe ich alles richtig gemacht zu haben und euch ein korrektes Hijack zu schicken.
Vielleicht gibts ja nen guten Tip für mich!!
Bitte bedenken, dass ich mich mit dem PC Slang nicht auskenne....
Vielen Dank, Silke

Logfile of HijackThis v1.99.1
Scan saved at 20:09:22, on 19.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\issearch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PestTrap] C:\Program Files\PestTrap\PestTrap.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160421425318
O21 - SSODL: gaonic - {f31aee4a-1530-4fef-8537-79c6973bff9a} - C:\WINDOWS\System32\tazth.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mit Killbox und der Option "Delete on Reboot" nacheinander diese Dateien löschen:

C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\System32\tazth.dll
C:\WINDOWS\system32\ixt0.dll

ERST DANN den Rechner neustarten lassen. Es kommt nämlich eine Meldung mit "...Do you want to reboot now?", dort klickste auf nein, erst wenn Du die letzte Datei mit dieser Option gelöscht hast rebootest Du, also klickst bei der Meldung auf ja.
Wenn Windows wieder oben ist, erstellst und postest ein neues HJT-Logfile.

Killbox legt auch Sicherheitskopien der gelöschten Dateien an, und zwar unter c:\!killbox\. Werte die darin liegenden Dateien bei Virustotal aus und poste das Ergebnis jeder Datei.

Hallo Cosinus,
erst mal vielen Dank fürs mitdenken!
Ich habe mir die Killbox runtergeladen, aber nun das Problem, dass diese den ersten Pfad nicht findet (habe das manuell versucht, im Ordner rumgesucht und auch die Suchfunktion ausprobiert).
Vielleicht hast du nen Tip für mich, wie ich da doch noch ran komme!
Danke, Silke

Hallo,
vielleicht war ich ja zu schnell beim Aufgeben - hab jetzt noch mal ein wenig rumprobiert und nun dieses Ergebnis bekommen.
Sieht das besser aus?
Danke, Silke

Logfile of HijackThis v1.99.1
Scan saved at 09:11:35, on 20.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PestTrap] C:\Program Files\PestTrap\PestTrap.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160421425318
O21 - SSODL: gaonic - {f31aee4a-1530-4fef-8537-79c6973bff9a} - C:\WINDOWS\System32\tazth.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Dann kopier mal nacheinander die kompletten Pfade der von mir erwähnten Dateien in das "Adressefeld" von Killbox hinein und gehe wie oben erwähnt vor.

Hallo Cosinus,
nun bin ich wohl doch mit meinem Latein am Ende.
Ich finde in meiner !Killbox nämlich nur ein kb Textdokument. Das ist wohl nichts, womit ich wirklich rausfinden kann, was da schief gegangen ist.
Oder meinst du die Pocket Killbox?? Wenn ja, wie gehe ich da weiter, wenn ich die Pfade eingegeben habe?
Liebe Grüße
Silke

Ich meine dieses Killbox. Du kopierst die Adresse der Datei ins Feld hinein, wählst unten die Option "Delete on reboot" und klickst dann auf das rote runde Schild mit dem weißen X. Die darauf folgende Frage mit Nein beantworten. Das machst Du mit jeder der drei Dateien und startest dann den Rechner neu.

Hallo Cosinus,
danke für die Geduld!
Ich habe bei Virustotal dieses Ergebnis erzielt, als ich als die meine !Killbox durchsuchen lies. Was meinst du dazu?
Liebe Grüße
Silke

Antivirus Version Update Result
AntiVir 7.2.0.32 10.20.2006 no virus found
Authentium 4.93.8 10.21.2006 no virus found
Avast 4.7.892.0 10.20.2006 no virus found
AVG 386 10.20.2006 no virus found
BitDefender 7.2 10.21.2006 no virus found
CAT-QuickHeal 8.00 10.20.2006 no virus found
ClamAV devel-20060426 10.20.2006 no virus found
DrWeb 4.33 10.21.2006 no virus found
eTrust-InoculateIT 23.73.32 10.21.2006 no virus found
eTrust-Vet 30.3.3146 10.20.2006 no virus found
Ewido 4.0 10.20.2006 no virus found
Fortinet 2.82.0.0 10.21.2006 no virus found
F-Prot 3.16f 10.21.2006 no virus found
F-Prot4 4.2.1.29 10.21.2006 no virus found
Ikarus 0.2.65.0 10.20.2006 no virus found
Kaspersky 4.0.2.24 10.21.2006 no virus found
McAfee 4878 10.20.2006 no virus found
Microsoft 1.1603 10.21.2006 no virus found
NOD32v2 1.1820 10.20.2006 no virus found
Norman 5.90.23 10.20.2006 no virus found
Panda 9.0.0.4 10.20.2006 no virus found
Sophos 4.10.0 10.15.2006 no virus found
TheHacker 6.0.1.102 10.20.2006 no virus found
UNA 1.83 10.20.2006 no virus found
VBA32 3.11.1 10.20.2006 no virus found
VirusBuster 4.3.7:9 10.20.2006 no virus found


Aditional Information
File size: 875 bytes
MD5: e1b50025e7e5ecef82ffcb2992756e1a
SHA1: 1ae63d9237ff6381417e475b86b62c9a90b1e9e3

Das scheint die Logdatei von Killbox zu sein - diese auszuwerten bringt genau garnichts, denn das ist eine einfache Textdatei, die keinerlei Gefahr darstellen kann.
Sind denn noch andere Dateien außer der killbox.log in diesem Ordner zu finden? Achte darauf, dass alle Dateien angezeigt werden (siehe Signatur).

Wie blöd von mir! Aber auf meinem Rechner ist tatsächlich nur diese Logdatei. Soll ich die Killbox noch mal neu installieren oder gibts `ne andere Möglichkeit, an die brauchbaren Möglichkeiten zu kommen?
Vielen Dank an dich!!!
Silke

Gehen wir das mal anders an, denn womöglich kommst Du an diese Dateien nicht einfach so heran. Mach mal einen Check mit eScan und Blacklight. Die Anleitung zum eScan findest Du in meiner Signatur. Poste die Logs.

Hallo Cosinus,
ich kapituliere!!!
Keine Ahnung, wie clever das ist, aber ich glaube, das wird langsam ne Nummer zu groß für mich.
Spybot findet meinen Smitfraud nun auch nicht mehr, sodass ich hoffe, das Problem ist schon beseitigt.
Trotzdem vielen Dank für die Mühe, würde dir ja am liebsten mal ein Bier ausgeben.
Silke

Das ist keine gute Idee. Einfach nur zu hoffen, dass das System sauber ist bringt einfach nichts. Wenn Dir das zu mühsam ist, dann solltest Du lieber einen örtlichen PC-Service konsultieren. Oder setzt einfach neu auf...