Hallo,
ich habe da ein Problem. Search and Destroy meldet mir den Fund Smitfraud-C.(WindowsMedia11-KB936782-x86-DEU) sowie(WindowsMedia11-KB939683-x86-DEU).
Wenn ich es aber durchlaufen lasse meldet es keinen Fund.
Habe mich informiert und glaube das mein gesammter Pc "koprimiert" ist. Also das jedes programm villeicht schon infiziert ist.
Da ich erst vor kurzem mein system gemacht habe denke ich das das keinen Sinn mehr macht da ich ja villeicht schon auf meinen programmen die ausbreitung von Maleware oder Spyware habe.
Bitte helft mir ich würde gerne mit euch zusammen aufreumen und sichergehen das ich danach wieder "clean" binn.Die datei welche infiziert ist ist übrigens direkt nach der windows xp installation auf meinem pc.
(PC:Amd sempron 2200+ mit 1500Mhz und 1,25 Ghz)
Danke schon mal

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:07, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Bonjour\mDNSResponder.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\Safari\Safari.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spyware Doctor\pctsGui.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxx://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxx://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SAC.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{51B056E2-EFCE-4CC2-ACDA-26B415491A63}: NameServer = 213.191.74.11 213.191.92.82
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 6648 bytes
Bitte helft mir, ich weiß einfach nicht was ich machen kann oder wie ich so eine Logfile auswerten kann.Oder sagt mir warum mir niemand schreibt , habe ich etwas falsch gemacht?
Und wenn ich Beiträge über ahnliche Probleme lese sind es eben nur ähnliche und nicht das gleiche.Danke schonmal im vorraus

im log kann ich smitfraud-c nicht endecken! Und WindowsMedia11-KB936782-x86-DEU hört sich an wie ne installations datei für den Windowsmediaplayer 11 aber man kann nie wissen was sich darin versteckt!

Lasse mal Malwarebytes Anti Malware drüber laufen und poste was er endeckt hat aber noch nichts löschen! http://www.trojaner-board.de/51187-a...i-malware.html

Hallo Tayk,danke für deine hilfe und sorry falls es etwas länger ging.Habe AntiMaleware laufen lassen zu meinem erstaunen hat es nichts gefunden.Vieleicht habe ich die datei noch nicht angeklickt aber dann sollte ich sie doch löschen wenn spybot meldet das sie infiziert ist sind.?
Ich denke aber immernoch das da ein spywareprogramm oder ähnliches irgendwo ist. Spyware Doctor hat 2 Funde gemeldet(TrojanSpy.Lyndra)und(Trojan.PWS-OnlineGames.KW).Und dann steht da noch Application.Windows_File_Protection_Disabled??? Abererstmal nicht so wichtigl Hier nun das Ergebniss von AntiMaleware,aber ich bin nicht im abgesicherten modus und habe auch sonst nichts für die suche umgestellt.Habe irgendwo gelesen das man da was umstellen soll, systemordner anzeigen. Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1031
Windows 5.1.2600 Service Pack 2

18:55:35 07.08.2008
mbam-log-8-7-2008 (18-55-35).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 113645
Laufzeit: 1 hour(s), 7 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
DANKE für jede Hilfe

Hmm... Das HJT log ist sauber Malwarebytes findet auch nichts! Lass mich mal überlegen!


Edit: In welchen dateien hat Spyware Doctor die beiden da gefunden?

Zitat:

TrojanSpy.Lyndra
Trojan.PWS-OnlineGames.KW

@Tayk danke erstmal: Trojan-PWS.OnlineGames.KW:c:\Dokumennte und einstellungen\Paul\Lokale einstellungen\Temp\kavss.dll
2.Trojan-Spy.Lyndra Registry-wert:HKEY_LOCAL_MACHINE_Microsoft\Windows\CurrentVersion\BITS,ServiceDLL
3.Application.Windows_File_Protection_Disabled
Registry-wert:HKEY_LOCAL_MACHINE_Microsoft\Windows NT\Current Version\Winlogon,SFCDissable
Dauerte etwas konnte nicht kopieren

Dann lade mal die datei c:\Dokumennte und einstellungen\Paul\Lokale einstellungen\Temp\kavss.dll bei VirusTotal - Kostenloser online Viren- und Malwarescanner hoch und poste den vollständigen bericht!

Mach ich...

Wieder soweit ich erkenne nichts. Ist ja gut aber wieso dann die meldung?
Datei kavss.dll empfangen 2008.08.07 21:15:33 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Filter
Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.8.0 2008.08.07 -
AntiVir 7.8.1.19 2008.08.07 -
Authentium 5.1.0.4 2008.08.07 -
Avast 4.8.1195.0 2008.08.07 -
AVG 8.0.0.156 2008.08.07 -
BitDefender 7.2 2008.08.07 -
CAT-QuickHeal 9.50 2008.08.07 -
ClamAV 0.93.1 2008.08.07 -
DrWeb 4.44.0.09170 2008.08.07 -
eSafe 7.0.17.0 2008.08.07 -
eTrust-Vet 31.6.6016 2008.08.06 -
Ewido 4.0 2008.08.07 -
F-Prot 4.4.4.56 2008.08.06 -
F-Secure 7.60.13501.0 2008.08.07 -
Fortinet 3.14.0.0 2008.08.07 -
GData 2.0.7306.1023 2008.08.07 -
Ikarus T3.1.1.34.0 2008.08.07 -
K7AntiVirus 7.10.407 2008.08.07 -
Kaspersky 7.0.0.125 2008.08.07 -
McAfee 5356 2008.08.07 -
Microsoft 1.3807 2008.08.07 -
NOD32v2 3337 2008.08.07 -
Norman 5.80.02 2008.08.06 -
Panda 9.0.0.4 2008.08.07 -
PCTools 4.4.2.0 2008.08.07 -
Prevx1 V2 2008.08.07 -
Rising 20.56.32.00 2008.08.07 -
Sophos 4.32.0 2008.08.07 -
Sunbelt 3.1.1537.1 2008.08.07 -
Symantec 10 2008.08.07 -
TheHacker 6.2.96.393 2008.08.04 -
TrendMicro 8.700.0.1004 2008.08.07 -
VBA32 3.12.8.2 2008.08.06 -
ViRobot 2008.8.7.1328 2008.08.07 -
VirusBuster 4.5.11.0 2008.08.07 -
Webwasher-Gateway 6.6.2 2008.08.07 -
weitere Informationen
File size: 143416 bytes
MD5...: 881fb1628eec60d5367f1b3029a84e62
SHA1..: 00924badcd352d33aed95f2b4c2bfc7ed0fba83b
SHA256: b54c3843aa4b3c8290af793b3e038ee6ceec11fd5a44176f26209c0bf07f8af9
SHA512: b6419b6c61f790aace7ca9b3540d48d2722667c1ab53776aaed0981272c58e29
dadd42f10f160d747d0cc718327ebdb8a602136599c177682b9701e2c1cc96f2
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6367a121
timedatestamp.....: 0x41934096 (Thu Nov 11 10:36:06 2004)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x19385 0x1a000 6.40 67560bf638ca659b1ca5816946c2b1db
.rdata 0x1b000 0x11bf 0x2000 3.62 36985cbcdd7fd53cb8f6e0d7a1b68ea8
.data 0x1d000 0xc05c 0x3000 5.87 5252d1a2a17f67d63ceb4c1b8a2b5048
.rsrc 0x2a000 0x4f8 0x1000 1.32 914be518b74e610bddcc7557c1a03cd5
.reloc 0x2b000 0x1454 0x2000 4.92 2fff51db3c20c17eb6d107a3eaa6516b

( 4 imports )
> KERNEL32.dll: GetFileAttributesA, GetFileAttributesW, SetFileAttributesA, SetFileAttributesW, CreateFileA, CreateFileW, WriteFile, ReadFile, SetFilePointer, GetFileSize, GetTickCount, WaitForMultipleObjects, GetModuleFileNameA, DeleteFileW, GetEnvironmentVariableA, LeaveCriticalSection, EnterCriticalSection, PulseEvent, DisableThreadLibraryCalls, GetCurrentThreadId, DeviceIoControl, SetEndOfFile, FlushFileBuffers, GetTempFileNameA, GetFullPathNameA, GetDiskFreeSpaceA, GetTempPathA, DeleteFileA, GetVersionExA, CopyFileW, CopyFileA, MultiByteToWideChar, SetEvent, WaitForSingleObject, WideCharToMultiByte, VirtualFree, DeleteCriticalSection, CreateEventA, CloseHandle, InitializeCriticalSection, GetCurrentDirectoryA, VirtualUnlock, VirtualLock, VirtualProtect, VirtualAlloc, GetSystemInfo, lstrcmpA, lstrcpynA, LoadLibraryA, FreeLibrary, SearchPathA, GetShortPathNameA, CreateMutexA, ReleaseMutex, GetCurrentProcess, GetLastError, lstrlenA, lstrcatA, Sleep, InterlockedDecrement, lstrcpyA, SetLastError, InterlockedIncrement, GetProcessHeap, QueryPerformanceCounter, GetCurrentProcessId, GetProcAddress, GetModuleHandleA, HeapFree, HeapAlloc
> USER32.dll: OemToCharA, wsprintfA, CharToOemA
> ADVAPI32.dll: GetTokenInformation, LookupPrivilegeValueA, OpenProcessToken, CreateServiceA, CloseServiceHandle, StartServiceA, OpenServiceA, OpenSCManagerA, RegOpenKeyA, RegQueryValueExA, RegCloseKey, ControlService, RegOpenKeyExA, AdjustTokenPrivileges
> MSVCRT.dll: _adjust_fdiv, _initterm, _onexit, __dllonexit, time, _errno, memmove, vsprintf, strtoul, free, malloc, strncpy, __CxxFrameHandler, memcpy, fopen, fprintf, fclose, strrchr, memset, _except_handler3, wcscpy, _read, _strnicmp, _waccess, _access, wcslen, strcat, strcpy, __2@YAPAXI@Z, __3@YAXPAX@Z, _beginthreadex, _filelength, _open, strlen, _wcsicmp, _strlwr, _close

( 19 exports )
kavssf01, kavssf02, kavssf03, kavssf04, kavssf05, kavssf06, kavssf07, kavssf08, kavssf09, kavssf10, kavssf100, kavssf101, kavssf102, kavssf103, kavssf11, kavssf12, kavssf13, kavssf14, kavssf15
ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate meherer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

Das muss wohl ein fehlalarm von Spyware doctor sein! Du könntest höchstens noch das machen!

Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Und dann das ergebniss posten!

@Tayk, danke für deine hilfe.Habe die datei jetzt einfach gelöscht ,glaube sie war eh nicht installiert.

Threat kann beendet werden . nochmal danke tayk