| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: neue version von SmitFraud?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
01.07.2008, 14:50
| #1 |
| /// AVZ-Toolkit Guru   |  neue version von SmitFraud? Bei deinem HJT log fehlt der "Kopf" mit den Angaben zum System und dem Boot-Mode.Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis -Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\) -Suche die Datei HiJackThis.exe und benenne sie um in 'This.com' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.com -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) - Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest. - Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken. Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
01.07.2008, 14:58
| #2 |
 | neue version von SmitFraud? Das umeditieren findet mein Antivir aber überhauptnicht lustig oO..... und lässt meinen Comp aber ziemlich ruckeln (mein explorer ist hopps gegangen -.-) .... soll ich Avira aus machen?
__________________PS: Kopf gefunden und reineditiert: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:34:29, on 01.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20661) Boot mode: Normal Geändert von Jud4s (01.07.2008 um 15:03 Uhr) |
|
01.07.2008, 15:19
| #3 | |
| /// AVZ-Toolkit Guru | neue version von SmitFraud?Zitat:
Und poste bitte ein frisches un komplettes log. Ich helfe dir aber zusammenstückelt tue ich mir die logs nicht.. 
__________________ |
|
01.07.2008, 15:24
| #4 |
| | neue version von SmitFraud?Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:22:33, on 01.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20661) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\ZoneLabs\vsmon.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINXP\system32\PnkBstrA.exe C:\WINXP\system32\PnkBstrB.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\WINXP\system32\wscntfy.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Trend Micro\HijackThis\HijackThis.com.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: Spybot-S&D IE Protection - {B1892F58-1116-4DEC-92AA-577872EC3D3D} - C:\WINXP\system32\domview.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = MSHEIMNETZ O17 - HKLM\Software\..\Telephony: DomainName = MSHEIMNETZ O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = MSHEIMNETZ O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = MSHEIMNETZ O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINXP\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINXP\system32\PnkBstrB.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe -- End of file - 6880 bytes Verständlich ..... ich tu alles was du befiehlst, wenn es dir hilft mir zu helfen ^^PS: Was die .exe dateien im obersten Block angeht. Sehe ich keine Programme die da nicht sein sollten oO.... bei dem unteren Block blicke ihc nicht durch....dazu fehlt mir (leider noch) das Wissen |
|
01.07.2008, 15:33
| #5 | |
| /// AVZ-Toolkit Guru | neue version von SmitFraud? - Deaktiviere bitte den Spybot Tea-Timer. Wenn du nicht wissen solltest wie das geht deinstalliere Spybot komplett! - Fixe mit HJT folgende Einträge: Zitat:
- Räume mit cClenaer auf. Punkt 1&2. - Durchsuche deinen Rechner mit SUPERAntiSpyware und Anti-Malware und poste die logs.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
01.07.2008, 16:16
| #6 |
| | neue version von SmitFraud? -Spybot deeinstalliert -Einträge gefixt -datei nicht gefunden -cCleaner benutz -Anti-Malware log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.19
Datenbank Version: 911
Windows 5.1.2600 Service Pack 2
16:58:59 01.07.2008
mbam-log-7-1-2008 (16-58-59).txt
Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 67844
Scan Dauer: 10 minute(s), 37 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
(Keine Malware Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{caf9d798-c659-4b9b-8e19-ee27c3d04ee7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{15c7d7ad-a87a-4c0d-9d8b-637fcd3488ef} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b1892f58-1116-4dec-92aa-577872ec3d3d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b1892f58-1116-4dec-92aa-577872ec3d3d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bhonew.bho (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bhonew.bho.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)
-SuperAntiSpywarescan Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 07/01/2008 at 05:14 PM
Application Version : 4.15.1000
Core Rules Database Version : 3494
Trace Rules Database Version: 1485
Scan type : Quick Scan
Total Scan Time : 00:03:50
Memory items scanned : 441
Memory threats detected : 0
Registry items scanned : 353
Registry threats detected : 0
File items scanned : 4260
File threats detected : 0
Adware.Tracking Cookie
tracknet.twyn.com [ C:\Dokumente und Einstellungen\Jud4s\Anwendungsdaten\Mozilla\Firefox\Profiles\awihiwkr.default\cookies.txt ]
tracknet.twyn.com [ C:\Dokumente und Einstellungen\Jud4s\Anwendungsdaten\Mozilla\Firefox\Profiles\awihiwkr.default\cookies.txt ]
.doubleclick.net [ C:\Dokumente und Einstellungen\Jud4s\Anwendungsdaten\Mozilla\Firefox\Profiles\awihiwkr.default\cookies.txt ]
.atdmt.com [ C:\Dokumente und Einstellungen\Jud4s\Anwendungsdaten\Mozilla\Firefox\Profiles\awihiwkr.default\cookies.txt ]
.adfarm1.adition.com [ C:\Dokumente und Einstellungen\Jud4s\Anwendungsdaten\Mozilla\Firefox\Profiles\awihiwkr.default\cookies.txt ]
.tribalfusion.com [ C:\Dokumente und Einstellungen\Jud4s\Anwendungsdaten\Mozilla\Firefox\Profiles\awihiwkr.default\cookies.txt ]
|
|
01.07.2008, 16:33
| #7 | |
| /// AVZ-Toolkit Guru | neue version von SmitFraud?Zitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
| Themen zu neue version von SmitFraud? |
| adobe, antivir, avira, bho, browser, computer, entfernen, festplatte, firefox, fraud, google, hkus\s-1-5-18, home, installation, internet, internet explorer, monitor, mozilla, mozilla firefox, neue version, neustart, popup, programm, prozesse, regsvr32, server, smitfraud, spyware terminator, starten, system, wickel, windows xp |
Hybrid-Darstellung
