Moin,

ich hab mir von serials.ws diesen smitfraud rotz eingefangen und sofort einen smitfraud remover runtergeladen und antivir free installiert. Im normalen modus hab ich mit tuneup die platte und registry aufgeräumt, in abgesicherten modus gestartet und anschließend den smitfraudfix ausgeführt.

Spybot findet das zwar alles aber beheben tut er das problem ni9cht. M4ein antivir piept nun ca. alle 10-20 Minuten mit dem HInweis auf eine infizierte VBS/Click.A Temp Datei.

Ich weiß nicht was ich noch machen kann außer zu formatieren Vielleicht könnt ihr mir weiterhelfen, hier mal ein aktuelles HijackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 16:11:20, on 31.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\QIP\qip.exe
C:\Dokumente und Einstellungen\zed\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.131.66:8080;http=192.168.131.66:8080;https=192.168.131.66:8080
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: BDEX System - {F47B34BF-B7DE-4BEB-B6E5-0FE04F0C90E3} - C:\WINDOWS\domnftwost.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: The emlkdvo - {114B82D9-FBBF-4CED-8DDC-B42DCF85E18E} - (no file)
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Startup: Opera (2).lnk = C:\Programme\Opera\Opera.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O16 - DPF: {82202BE7-C56A-487E-9E55-D84BDC1A5776} - http://install.anark.com/client/version1/windows-ie/en/AMClient.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21BB7264-E721-473B-9E3E-7743CC03D1C7}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F3F9812-CD90-4CAC-AC81-F97D0C58EE1A}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{59EDDF70-F66C-45E9-9F63-F169B0385737}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{21BB7264-E721-473B-9E3E-7743CC03D1C7}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{21BB7264-E721-473B-9E3E-7743CC03D1C7}: NameServer = 192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{21BB7264-E721-473B-9E3E-7743CC03D1C7}: NameServer = 192.168.1.1
O17 - HKLM\System\CS4\Services\Tcpip\..\{21BB7264-E721-473B-9E3E-7743CC03D1C7}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: bvtqfvx - {24D64B0C-EEAE-4B9D-AEF9-BE7FC568F77D} - (no file)
O21 - SSODL: alxvdvm - {5B045214-04A6-4F3F-B9A3-5A519B49BC6C} - C:\WINDOWS\alxvdvm.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

Scanne die Datei "domnftwost.dll" bei:

http://www.virustotal.com/de
http://www.virscan.org
http://virusscan.jotti.org/de/

Möchte wissen, ob diese Variante bei den Virenschutzherstellern bekannt ist.
Poste das Ergebnis, dann fixen wir die drei Einträge mit HijackThis.

infected

Ergänzung:

Bitte auch folgende Datei prüfen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\alxvdvm.dll
         

Dein Java ist veraltet und daher eine potentielle Sicherheitslücke:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
         

Aktuell ist Java 6, Update 3! Download der Java-Software von Sun Microsystems

Bevor Du aber hier ein Update vornimmst, poste bitte die Scan-Ergebnisse der von Christian und mir genannten Dateien.

VirusTotal ist in meiner Signatur verlinkt.

Hier VT log der Datei "alxvdvm.dll":
http://www.virustotal.com/de/analisis/6fba9bdcd42a95a89187b105be69fc79

Die Datei "domnftwost.dll" ist nich mehr auffindbar. Liegt vielleicht daran das ich den Punkt schon von Hijack fixen ließ.

infected

Zitat:

Die Datei "domnftwost.dll" ist nich mehr auffindbar. Liegt vielleicht daran das ich den Punkt schon von Hijack fixen ließ.

Möglich, darum ist es immer schlecht, vor einer vollständigen Analyse voreilig zu fixen oder zu löschen.

Es läßt sich nun nicht zweifelsfrei klären, ob wieder alles ok ist. Die von mir gepostete Datei wurde auch nur von 2 Scannern erkannt, was nicht bedeutet, daß Entwarnung gegeben werden kann.

Ich übergebe daher an Christian, damit er Dir weiterhilft.

Sende die Datei "alxvdvm.dll" an folgende Adressen:

Ad-aware: research(at)lavasoft.com
Ahnlab: v3sos(at)ahnlab.com
AntiVir: virus(at)free-av.de
ArcaVir: virus(at)arcabit.com
Avast: virus(at)asw.cz
AVG: virus(at)grisoft.cz
A²: submit(at)emsisoft.com
Bitdefender: virus_submission(at)bitdefender.com
Clam: ClamAV VirusDB submission
Command: virus(at)commandsoftware.com
Comodo BoClean: bocleansubmissions(at)comodo.com
DrWeb: vms(at)drweb.com
Ewido: submit(at)ewido.net
eSafe: virus(at)esafe.com
eTrust: virus(at)ca.com
F-Prot: viruslab(at)f-prot.com
Fortinet: submitvirus(at)fortinet.com
FP-Win: samples(at)percomp.de
F-Secure: vsamples(at)f-secure.com
G-DATA: samples(at)gdatasoftware.com
Hauri: viruslab(at)hauri.co.kr
Ikarus: samples(at)ikarus.at
Kaspersky: newvirus(at)kaspersky.com
McAfee: virus_research_de(at)avertlabs.com
MKS-Vir: wirus(at)mks.com.pl
Microsoft AntiVirus: onecare(at)submit.microsoft.com
Microsoft Anti-Spyware: windefend(at)submit.microsoft.com
Nod32: samples(at)eset.com
Norman: analysis(at)norman.no
Panda: virus(at)pandasecurity.com
PestPatrol: helpdesk(at)pestpatrol.com
Quickheal: viruslab(at)quickheal.com
SecureComputing: samples(at)securecomputing.com
Sophos: samples(at)sophos.com
Spybot: detections(at)spybot.info
Symantec Norton: avsubmit(at)symantec.com
Sunbelt: malware-cruncher(at)sunbelt-software.com
Tauscan: trojans(at)agnitum.com
Trendmicro: VirusLab(at)trendmicro-europe.com
TrojanHunter: submit(at)trojanhunter.com
VBA32: newvirus(at)anti-virus.by
Vexira: virus(at)centralcommand.com
Virudin: labor(at)virudin.com
Virusbuster: virus(at)virusbuster.hu

Bitte ersetze "(at)" mit "@". Wenn du möchtest, kann ich dir die Adressen auch im Textformat nennen. Du kannst dann den Text einfach in dein E-Mail-Programm kopieren.
Es wäre sehr sehr hilfreich, wenn du die Datei an die Virenschutzhersteller senden würdest - es handelt sich hierbei um neue Malware.


Anschließend lösche folgende Dateien im abgesicherten Modus:
C:\WINDOWS\alxvdvm.dll
C:\WINDOWS\domnftwost.dll (wenn noch vorhanden)

Fixe anschließend mit HijackThis folgende Einträge:
O2 - BHO: BDEX System - {F47B34BF-B7DE-4BEB-B6E5-0FE04F0C90E3} - C:\WINDOWS\domnftwost.dll
O3 - Toolbar: The emlkdvo - {114B82D9-FBBF-4CED-8DDC-B42DCF85E18E} - (no file)
O16 - DPF: {82202BE7-C56A-487E-9E55-D84BDC1A5776} - http://install.anark.com/client/version1/windows-ie/en/AMClient.cab
O21 - SSODL: bvtqfvx - {24D64B0C-EEAE-4B9D-AEF9-BE7FC568F77D} - (no file)
O21 - SSODL: alxvdvm - {5B045214-04A6-4F3F-B9A3-5A519B49BC6C} - C:\WINDOWS\alxvdvm.dll


Bitte vergesse nicht die Datei an die genannten Adressen zu senden.

mail is raus, habe rechner jetzt ca 3 std im betrieb und noch keine Virusmeldung durch anti Vir erhalten

danke

Hi Christian, was gegen:

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Boote im abgesicherten Modus
-Starte es dann und lass das System Reinigen. (Option 2)



-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt

Download ComboFix von hier oder hier auf Deinen Desktop.
Mache einen Doppelklick auf combofix.exe
Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl ?

Bata

Bisher scheint alles ok zu sein, ich werd das weiter beobachten, aber ich denke christians methode mit der manuellen löschung der beiden dateien und dem fix der einträge durch hijack hats gebracht.

Das smitfraudfix hat bei mir (wie bereits geschrieben) nicht geholfen.

trotzdem nochmal danke für die schnelle und konstruktive hilfe