| |
| |||||||
Log-Analyse und Auswertung: Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
23.07.2007, 12:49
| #1 |
 |  Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg? Hallo Ihr lieben Experten! Habe mir da wohl mal was ganz dämliches eingefangen. Online Security Guide und Troubleshooting Security heissen die Trojaner. Mir wurde kurz zuvor empfohlen ein ActiveX Steuerelement zu installieren. Leider bin ich drauf reingefallen. Jetzt habe ich gelesen was zu tun ist komme jedoch mit dem Ergebniss nicht weiter. Hier das Search Ergebniss also was muss davon nu weg ?? SmitFraudFix v2.206 Scan done at 13:37:06,68, 23.07.2007 Run from C:\Programme\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Treiber\ZFang\Zboard.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\CTHELPER.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Java\jre1.6.0_01\bin\jucheck.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\psndz.dll FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Atze »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Atze\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Atze\FAVORI~1 C:\DOKUME~1\Atze\FAVORI~1\Online Security Test.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Desktop C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme C:\Programme\Video ActiveX Access\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{fa55d551-9698-48ac-b639-9b00cf1a6ea0}"="grazable" [HKEY_CLASSES_ROOT\CLSID\{fa55d551-9698-48ac-b639-9b00cf1a6ea0}\InProcServer32] @="C:\WINDOWS\system32\psndz.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{fa55d551-9698-48ac-b639-9b00cf1a6ea0}\InProcServer32] @="C:\WINDOWS\system32\psndz.dll" »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: NVIDIA nForce Networking Controller - Paketplaner-Miniport DNS Server Search Order: 192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{F56BC10C-88A5-4854-A7B2-EC198CC0F75D}: NameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{F56BC10C-88A5-4854-A7B2-EC198CC0F75D}: NameServer=192.168.2.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{F56BC10C-88A5-4854-A7B2-EC198CC0F75D}: NameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Hoffentlich könnt ihr mir ein paar Tipps geben .... Gruss Achim |
|
23.07.2007, 13:05
| #2 |
| > MalwareDB   | Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg? das von SmitfraufFix angezeigt ist auch gelöscht. Poste ergänzend ein HJT Logfile. Welche Eigenschaften tauchen auf?
__________________Bata
__________________ |
|
23.07.2007, 13:38
| #3 |
| | Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg? ja mache ich gern müsste nur wissen wo ich diese liste finde ??
__________________ |
|
23.07.2007, 13:52
| #4 |
| > MalwareDB | Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg?
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall Geändert von BataAlexander (23.07.2007 um 14:06 Uhr) |
|
23.07.2007, 13:59
| #5 |
| | Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg? okay hier das Ergebniss Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:57:33, on 23.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Treiber\ZFang\Zboard.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\CTHELPER.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {E26CEADA-67B0-4543-BE8B-307F00265118} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing) O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Programme\Video ActiveX Access\iesbpl.dll (file missing) O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Zboard] C:\Treiber\ZFang\Zboard.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\AcrobatReader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /FU "C:\WINDOWS\TEMP\E_S74.tmp" /EF "HKCU" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Programme\Video ActiveX Access\iesmn.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{F56BC10C-88A5-4854-A7B2-EC198CC0F75D}: NameServer = 192.168.2.1 O22 - SharedTaskScheduler: grazable - {fa55d551-9698-48ac-b639-9b00cf1a6ea0} - C:\WINDOWS\system32\psndz.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\system32\CTsvcCDA.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: DiRT Drivers Auto Removal (pr2ah4nb) (pr2ah4nb) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nb.exe O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe -- End of file - 5658 bytes sieht so aus als wäre da einiges wie gefährlich sind diese Programme eigentlich? Ich tätige diverse Zahlungen per Kreditkarte übers Internet. Sollte ich dies erstmal lassen ??? |
|
23.07.2007, 14:15
| #6 | |
| > MalwareDB | Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg? diese Einträge fixen O2 - BHO: (no name) - {E26CEADA-67B0-4543-BE8B-307F00265118} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing) O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Programme\Video ActiveX Access\iesbpl.dll (file missing) O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Programme\Video ActiveX Access\iesmn.exe O22 - SharedTaskScheduler: grazable - {fa55d551-9698-48ac-b639-9b00cf1a6ea0} - C:\WINDOWS\system32\psndz.dll diese Dateien\Ordner löschen C:\Programme\Video ActiveX Access C:\WINDOWS\system32\psndz.dll C:\Programme\Video ActiveX Access\iesmn.exe Dann Löscht eure Temp-Dateien mit Cleanup! und postest die vier Logfiles der Datfind.bat, aber nur die Dateien des letzten Monats abkopieren!(THX Wildone) Zitat:
 Bata
__________________ --> Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg? |
|
23.07.2007, 15:20
| #7 |
| | Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg? fixen tue ich indem ich diese dateien im abgesicherten modus entferne ja ? wie komme ich denn dort an die dateien ran? wenn ich die xp cd einlege will der bei mir neu installieren bei geänderter bootreihenfolge was mache ich falsch ? |
|
23.07.2007, 15:30
| #8 |
| > MalwareDB | Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg? F8 beim booten drücken, dann abgesichter Modus auswählen. Bata
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
23.07.2007, 17:50
| #9 |
| | Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg? habe es jetzt ein dutzent mal so ausprobiert alles was bei mir erscheint wenn ich beim booten F8 drücke ist ein Menü das mich fragt welches Laufwerk gestartet werden soll. Von abgesichertem Modus ist da echt garnichts zu finden |
|
23.07.2007, 18:47
| #10 |
| > MalwareDB | Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg?
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
23.07.2007, 20:10
| #11 |
| | Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg? also nicht sofort nach dem start F8 sondern erst wenn windows startet na mal sehen ob das die lösung ist he he |
|
23.07.2007, 20:24
| #12 |
| > MalwareDB | Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg? einfach mal zu verschiedenen Zeiten ausprobieren... Bata
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
23.07.2007, 21:21
| #13 |
| | Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg? nach wie vor das selbe sorry F8 öffnet bei mir ein blaues fenster welches mich fragt von welchem laufwerk gebootet werden soll dann sage ich ihm von dem cd laufwerk in dem ich die original xp cd liegen habe und der rechner startet ganz normal |
|
23.07.2007, 21:50
| #14 |
| > MalwareDB | Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg? sieht das ungefähr so aus  Bata
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
23.07.2007, 23:02
| #15 |
| | Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg? ja in etwa so sieht das aus und da steht nichts von abgesicherter modus und dann gehe ich auf cd rom lege die xp cd ein und sage ihm von cd zu booten er macht aber trotzdem normal weiter als wäre nichts gewesen startet alles und die auflösung ist auch die selbe 1280 1024 |
|
| Themen zu Kann SmitfraudFix Ergebniss nicht werten??? Was muss weg? |
| antivir, application, attention, dateien, dll, drivers, einstellungen, firefox, home, homepage, infected, internet, internet explorer, messenger, microsoft, mozilla, mozilla firefox, msn, msn messenger, nvidia, programme, rundll, security, smitfraudfix, software, system32, treiber, windows, windows xp |
Linear-Darstellung
