Zitat:

Zitat von tatja

ich habe SmitFraudFix auf infizierte Dateien suchen lassen. Was mache ich weiter? Reinigen mit SmitFraudFix?

Poste ruhig erst den Report aus Punkt 1 (siehe Smitfraudfix-Anleitung).

Teile deine Meinung völlig

Wollte ja nur darauf nochmals hinweisen








LG, Terayaki

Das ist der Rapport
SmitFraudFix v2.204

Scan done at 22:45:13,65, 17.07.2007
Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\FlashGet\flashget.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\***\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 217.237.149.205
DNS Server Search Order: 217.237.151.51

HKLM\SYSTEM\CCS\Services\Tcpip\..\{889C8186-AEF9-417C-9BBC-6B9FD667FD89}: NameServer=217.237.149.205 217.237.151.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{889C8186-AEF9-417C-9BBC-6B9FD667FD89}: NameServer=217.237.149.205 217.237.151.51


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

und was jetzt?

Einen Versuch noch auf diesem Wege:

Starte HijackThis. Wähle jedoch "Open the Misc Tools section". Dort findest Du ca. mittig den Button "Delete a file on reboot". Klick nachher, wenn ich es schreibe, darauf, und wähle dann nacheinander die genannten Dateien aus. Nach jeder einzelnen Auswahl kommt die Frage nach dem Neustart - wähle dabei zunächst "Nein", bis Du die letzte Datei ausgewählt hattest. Klick erst dann auf "Ja", damit das System neu startet.

Ich schreibe das ankündigend, weil Du das offline umsetzen sollst.

Poste jetzt bitte noch einmal ein aktuelles datfind-LogFile. Ich lese das dann sofort und nenne Dir die Dateien, die Du mit HijackThis auswählen sollst. Sobald ich das Posting geschrieben habe und Du es liest, gehst Du offline und setzt die Geschichte mit HijackThis um. Soweit verständlich?

soweit klar, hier ist neu logfile

Verzeichnis von C:\WINDOWS\system32

17.07.2007 23:27 17.757 wybeg.ini
17.07.2007 22:45 3.650 tmp.reg
17.07.2007 22:45 0 tmp.txt
17.07.2007 22:43 380.350 perfh009.dat
17.07.2007 22:43 52.764 perfc009.dat
17.07.2007 22:43 390.960 perfh007.dat
17.07.2007 22:43 63.576 perfc007.dat
17.07.2007 22:43 897.954 PerfStringBackup.INI
17.07.2007 22:39 295 rhieaook.ini
17.07.2007 22:39 88.566 nvapps.xml
17.07.2007 22:39 13.646 wpa.dbl
17.07.2007 21:29 128.576 kooaeihr.dll
17.07.2007 21:29 66.112 ihrbtwgq.exe
17.07.2007 07:50 266.336 gebyw.dll

Bitte diese fünf Dateien zum Löschen auswählen:

C:\WINDOWS\system32\kooaeihr.dll
C:\WINDOWS\system32\ihrbtwgq.exe
C:\WINDOWS\system32\wybeg.ini
C:\WINDOWS\system32\gebyw.dll
C:\WINDOWS\system32\rhieaook.ini

Nach dem Neustart des Systems kannst Du, ohne online zu gehen, selbst nochmal ein neues datfind-LogFile erstellen und Dir selbst anschauen. Findest Du darin auch nur eine der fünf Dateien erneut, versuche, ob Killbox weiterhin von einer Malware an der Ausführung gehindert wird. Falls nein, falls also Killbox funktioniert, lass die restlichen der genannten fünf Dateien über killbox löschen, starte neu und melde Dich dann wieder hier.

Solltest Du bereits mit HijackThis Erfolg gehabt haben oder falls es mit Killbox nicht funktioniert, melde Dich dennoch wieder hier.

ok, ich versuche ::

Also..
Geschichte mit HijackThis funktioniert nicht . Nachdem ich "Delete a file on reboot" klicke verschwindet HijackThis ganz.
Dann habe ich mit KillBox. Einige Dateien konnte ich entfernen. gebyw.dll und wybeg.ini aber nicht. Dieser wybeg.ini wird glaube ich nach der entfernung wiederherstellt, denn einmahl hat ihn killbox gelscht und promt war er wieder da. die Datei wybeg.bak1 habe ich aber schon entfernt

neus logfile
Verzeichnis von C:\WINDOWS\system32

18.07.2007 00:22 538 wybeg.ini
18.07.2007 00:19 595 wgpkqnio.ini
18.07.2007 00:19 88.566 nvapps.xml
18.07.2007 00:19 13.646 wpa.dbl
18.07.2007 00:11 380.350 perfh009.dat
18.07.2007 00:11 52.764 perfc009.dat
18.07.2007 00:11 390.960 perfh007.dat
18.07.2007 00:11 63.576 perfc007.dat
18.07.2007 00:11 897.954 PerfStringBackup.INI
18.07.2007 00:04 128.576 oinqkpgw.dll
18.07.2007 00:02 66.112 ayxyrbhb.exe
18.07.2007 00:02 355 mklhgoun.ini
17.07.2007 23:42 66.112 kpsroxbo.exe
17.07.2007 22:45 0 tmp.txt
17.07.2007 22:45 3.650 tmp.reg
17.07.2007 07:50 266.336 gebyw.dll

Was Du bräuchtest - das ohnehin sinnvoll wäre - ist eine CD, von der aus Du starten und dann entsprechende Dateien löschen kannst. Das Malheur ist im wahrsten Sinne des Wortes, dass man auf dem infizierten System Software laufen lässt, die ihrerseits von aktiver Malware manipuliert werden kann - genau das ist auch hier der Fall.

Hast Du Deine Daten, die Du behalten möchtest, beisammen? Zum Beispiel auf DVDs gebrannt?

noch nicht alle, ich werde die morgen sichern
was ist aber "eine CD, von der aus Du starten und dann entsprechende Dateien löschen kannst." ? Das ist aber nicht die WindowsXP-CD? oder?

Nein, das wäre so eine:
Bart PE - Wikipedia

Vorschlag: Widme Dich nun prioritär der Datensicherung!

ok, mache ich unbedingt
gehe erstmal schlafen

ich danke dir für alles

ich habe mich jetzt entschlossen neuaufzusetzen. Muss ich da was bestimmtes beachten? Vielleicht etwas was ich davor noch unbedingt durchführen soll?
mfg
Tanja