|
Log-Analyse und Auswertung: Smitfraud c "Überreste"???Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.01.2007, 20:45 | #1 |
| Smitfraud c "Überreste"??? Smitfraud C oder nicht? Guten abend alle erstmal. Heut hat aus heiterem himmel mein s&d alarm geschlagen und angeblich den smitfraud c gefunden. komischerweise konnte s&d das problem beheben und nach neustart hat es nix mehr gefunden. weil mir des komisch vorkam hab ich in eigenregie im abgesicherten modus diverse registry einträge gelöscht. allerdings hatte ich nur halbwegs verdächtige registry einträge, keine einzige datei welche für den trojaner (und diverse varianten) typisch ist war bei mir vorhanden. Hab zZ auch keine komischen Prozesse laufen und nie irgendwelche anderen probleme gehabt (firewall warnungen, ungewöhnliche teatimer warnungen, browser probleme etc pp). Alledings hatte ich vor nem jahr oder so mal den virtomunde drauf. konnte den aber eigentlich wieder entfernen (mit den üblichen mitteln). Zum abschluss wollt ich mir jetzt mal noch eure meinung einholen bezüglich meines systemzustandes. Hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 20:22:09, on 12/01/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\taskswitch.exe C:\WINDOWS\system32\fast.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Programme\Windows Defender\MSASCui.exe C:\WINDOWS\system32\ctfmon.exe C:\Spiele\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\system32\Fast.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\snmp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Spiele\HJT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Spiele\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Spiele\SPYBOT~1\SDHelper.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\system32\bgswitch.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Spiele\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Download all with Free Download Manager - file://c:\Spiele\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://c:\Spiele\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download web site with Free Download Manager - file://c:\Spiele\Free Download Manager\dlpage.htm O8 - Extra context menu item: Download with Free Download Manager - file://c:\Spiele\Free Download Manager\dllink.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Spiele\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O11 - Options group: [INTERNATIONAL] International* O12 - Plugin for .cdx: C:\Programme\Internet Explorer\PLUGINS\Npcdp32.dll O15 - Trusted Zone: http://download.windowsupdate.com O15 - Trusted Zone: http://*.windowsupdate.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?113553372571 8 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147897721 046 O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: winjgf32 - C:\WINDOWS\ O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Der einzige eintrag der mir sorgen macht ist eigentlich der: O20 - Winlogon Notify: winjgf32 - C:\WINDOWS\ allerdings hab ich die datei winjgf32 in c:\windows gar net. Für eure meinung wär ich sehr dankbar elsevier |
12.01.2007, 20:54 | #2 |
| Smitfraud c "Überreste"??? Ach ja.
__________________Systemscan im abgesicherten modus von avg free, avgas und kapersky online scanner ergab nach meiner reinigungsaktion auch nix mehr. cheers |
13.01.2007, 06:06 | #3 | ||
| Smitfraud c "Überreste"??? mOIn auch
__________________Zitat:
Zitat:
Starte HijackThis und wähle - do a system scan only - hake die Einträge an - O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) O20 - Winlogon Notify: winjgf32 - C:\WINDOWS\ - klicke auf - fix checked - führe einen Neustart durch und die Einträge sollten weg sein. MFG |
13.01.2007, 11:33 | #4 |
Administrator > Competence Manager | Smitfraud c "Überreste"??? Zusätzlich zu dem was nochdigger empfohlen hat, kannst du auch folgendes Tool herunterladen und starten -> Look2Me Destroyer -Vorher alle Windows-Fenster schließen -Programm starten -> Scan for L2M -> danach Remove L2M -dann wird der Rechner heruntergefahren -Nach dem Neustart den Inhalt der Look2Me-Destroyer.txt posten. Gruß Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
13.01.2007, 16:12 | #5 | ||
| Smitfraud c "Überreste"??? Guten morgen erstmal und danke für eure tips. @nochdigger: Zitat:
hab im abgesicherten modus versucht mit HijackThis die genannten einträge zu löschen (und mit ATF meine tmp ordner geleert) --> beide einträge erscheinen nach neustart genauso wieder. @sunny: l2m destroyer hat keine files gefunden,hab trotzdem delete l2m files ausgeführt und hier ist das log file: Zitat:
hab nochmals alle ausgeführten prozesse überprüft, und keinen verdächtigen gefunden. lasse gerade avg av, s&d und windows defender nochmal laufen, werde ergebnis dann posten. Eine frage noch zu den genannten registry einträgen. was genau bewirken die?so wie ich des verstehe weisen beide nicht direkt auf eine ausführbare datei hin. was zur hölle machen die dann?? grüße elsevier |
13.01.2007, 18:33 | #6 |
| Smitfraud c "Überreste"??? Guten abend. ergebnisse von s&d, kaspersky online scanner, avg free, l2m destroyer und l2m entferner von blacklight sind alle negativ. bis auf die tatsache dass ich die beiden registry einträge nicht wegkriege sieht alles sauber aus. sämtliche laufenden prozesse hab ich geprüft auf ort und dateigröße und sind in ordnung. Deswegen erklär ich jetzt mein notebook für sauber. Danke für eure tips, schönes wochenende noch, MFG Elsevier |
Themen zu Smitfraud c "Überreste"??? |
abgesicherten modus, adobe, alert, bho, browser, defender, entfernen, excel, explorer, firewall, fraud, free download, helper, internet, internet explorer, konvertieren, monitor, neustart, object, pdf-datei, problem, prozesse, registry, server, smitfraud, software, trojaner, träge, windows, windows defender, windows xp |