Smitfraud C oder nicht?

Guten abend alle erstmal.

Heut hat aus heiterem himmel mein s&d alarm geschlagen und angeblich den smitfraud c gefunden. komischerweise konnte s&d das problem beheben und nach neustart hat es nix mehr gefunden.

weil mir des komisch vorkam hab ich in eigenregie im abgesicherten modus diverse registry einträge gelöscht.

allerdings hatte ich nur halbwegs verdächtige registry einträge, keine einzige datei welche für den trojaner (und diverse varianten) typisch ist war bei mir vorhanden. Hab zZ auch keine komischen Prozesse laufen und nie irgendwelche anderen probleme gehabt (firewall warnungen, ungewöhnliche teatimer warnungen, browser probleme etc pp).

Alledings hatte ich vor nem jahr oder so mal den virtomunde drauf. konnte den aber eigentlich wieder entfernen (mit den üblichen mitteln).

Zum abschluss wollt ich mir jetzt mal noch eure meinung einholen bezüglich meines systemzustandes.

Hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 20:22:09, on 12/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\fast.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Spiele\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\Fast.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Spiele\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Spiele\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Spiele\SPYBOT~1\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} -

C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Spiele\Adobe\Acrobat

7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\system32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame

Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Spiele\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren -

res://C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren -

res://C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Spiele\Adobe\Acrobat

7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren -

res://C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download all with Free Download Manager - file://c:\Spiele\Free

Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager -

file://c:\Spiele\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager -

file://c:\Spiele\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://c:\Spiele\Free

Download Manager\dllink.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Spiele\Adobe\Acrobat

7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren -

res://C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren -

res://C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren -

res://C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network

Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

%windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .cdx: C:\Programme\Internet Explorer\PLUGINS\Npcdp32.dll
O15 - Trusted Zone: http://download.windowsupdate.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?113553372571

8
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147897721

046
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) -

http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) -

http://www.arcor.de/vod/dmd/WMDownload.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winjgf32 - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} -

C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame

Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. -

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco

Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -

C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -

C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Der einzige eintrag der mir sorgen macht ist eigentlich der:

O20 - Winlogon Notify: winjgf32 - C:\WINDOWS\

allerdings hab ich die datei winjgf32 in c:\windows gar net.

Für eure meinung wär ich sehr dankbar

elsevier

Ach ja.

Systemscan im abgesicherten modus von avg free, avgas und kapersky online scanner ergab nach meiner reinigungsaktion auch nix mehr.


cheers

mOIn auch

Zitat:

Zum abschluss wollt ich mir jetzt mal noch eure meinung einholen bezüglich meines systemzustandes.

anhand eines Hijack Logs sieht man beiweitem nicht alles was auf deinem Rechner los ist, oberflächlich mag er i.O. erscheinen.

Zitat:

Der einzige eintrag der mir sorgen macht ist eigentlich der:

O20 - Winlogon Notify: winjgf32 - C:\WINDOWS\

es scheint, dass es sich hier um einen Überrest von L2Me handelt --> winjgf32

Starte HijackThis und wähle - do a system scan only - hake die Einträge an -

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)

O20 - Winlogon Notify: winjgf32 - C:\WINDOWS\ -

klicke auf - fix checked - führe einen Neustart durch und die Einträge sollten weg sein.

MFG

Zusätzlich zu dem was nochdigger empfohlen hat, kannst du auch folgendes Tool herunterladen und starten ->
Look2Me Destroyer

-Vorher alle Windows-Fenster schließen
-Programm starten -> Scan for L2M -> danach Remove L2M
-dann wird der Rechner heruntergefahren
-Nach dem Neustart den Inhalt der Look2Me-Destroyer.txt posten.

Gruß
Sunny

Guten morgen erstmal und danke für eure tips.

@nochdigger:

Zitat:

anhand eines Hijack Logs sieht man beiweitem nicht alles was auf deinem Rechner los ist, oberflächlich mag er i.O. erscheinen.

die befürchtung hatte ich bereits. aber wie gesagt, mir ist in letzter zeit überhaupt nichts selstames an meinem rechner aufgefallen, noch hab ich irgendwelche dubiosen seiten besucht oder diverse spam-mail anhänge geöffnet. bin deswegen etwas banane.

hab im abgesicherten modus versucht mit HijackThis die genannten einträge zu löschen (und mit ATF meine tmp ordner geleert)

--> beide einträge erscheinen nach neustart genauso wieder.

@sunny:

l2m destroyer hat keine files gefunden,hab trotzdem delete l2m files ausgeführt und hier ist das log file:

Zitat:

Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 13.01.2007 15:49:07


Attempting to delete infected files...

Making registry repairs.


Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administratoren - Succeeded

Für mich klingt das aber irgendwie ziemlich unergiebig.

hab nochmals alle ausgeführten prozesse überprüft, und keinen verdächtigen gefunden.

lasse gerade avg av, s&d und windows defender nochmal laufen, werde ergebnis dann posten.

Eine frage noch zu den genannten registry einträgen.

was genau bewirken die?so wie ich des verstehe weisen beide nicht direkt auf eine ausführbare datei hin. was zur hölle machen die dann??

grüße

elsevier

Guten abend.

ergebnisse von s&d, kaspersky online scanner, avg free, l2m destroyer und l2m entferner von blacklight sind alle negativ. bis auf die tatsache dass ich die beiden registry einträge nicht wegkriege sieht alles sauber aus. sämtliche laufenden prozesse hab ich geprüft auf ort und dateigröße und sind in ordnung.

Deswegen erklär ich jetzt mein notebook für sauber.

Danke für eure tips,

schönes wochenende noch,

MFG

Elsevier