Ist Smitfraudfix selbst verseucht?
 

Hallo,

vor einigen Tagen fand Spybot Search&Destroy 1.5.2 auf meinem PC (Win XP SP 2) das Programm "zlob.downloader" und beseitigte es. Jedenfalls ergab ein zweiter Spybot-Lauf keinen Fund mehr. Nachdem ich aber im Internet mehrfach von Spybots erfolglosen Beseitigungsversuchen gelesen hatte, wollte ich sicherheitshalber die hier am 13.6. und 7.7.2006 empfohlene Anleitung zur Beseitigung von zlob abarbeiten. Dazu lud ich am 27.2.2008 um ca. 23 Uhr das Smitfraudfix von der angegebenen Adresse herunter und sah dann mit Entsetzen, dass AntiVir PE Classic 7.06 beim Starten von Smitfraudfix zwei Probleme meldete:
C:\Programme\SmitfraudFix-20070227.exe
[0] Archivtyp: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
--> SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes.

Was ist davon zu halten: Ist Smitfraudfix zz. wirklich verseucht oder AntiVir zu vorsichtig?

MfG
Kurt Bachmann

Smitfraudfix wird immer wieder von Virenscanner erkannt, in Deinem Fall als SPR/Tool.Reboot.C was besagt, dass das Programm den Rechner neu starten kann. Dies ist in diesem Fall gewollt und kein Zeichen von Befall.

Hallo BataAlexander,
besten Dank. Dann lasse ich Smitfraudfix jetzt suchen und hoffe, dass zlob wirklich beseitigt ist.
MfG
Kurt

Aber nicht vergessen, den Fix im Abgesicherten Modus zu machen wie beschrieben.

Hallo Blow-in,
ich hoffe noch, dass es nicht zum Fix kommt, sondern dass die vorherige Suche, die ich im normalen Betrieb durchführen wollte, ohne Befund endet. Oder sollte ich auch schon die Suche im Abgesicherten Modus starten?
MfG
Kurt

Nein. :daumenhoc Der Scan kann im normalen Modus gemacht werden. :)


Es wird hier nur gelegentlich ganz gern vergessen, dass man vor der Bereinigung erstmal schauen sollte, ob diese überhaupt notwendig ist.

lg myrtille

Hallo,

zunächst vielen Dank für eure schnellen und hilfreichen Antworten. Inzwischen habe ich SmitFraudFix suchen lassen und dabei ist der folgende Bericht entstanden. Offensichtlich hat Spybot tatsächlich Zlob.downloader beseitigt, aber die Begriffe „corrupted“ und „infected“ klingen unerfreulich. Leider verstehe ich die Problemmeldungen inhaltlich nicht, weil mir u. a. die Begriffe „hosts“, „IEDFix“, „VACFix“ „Sharedtaskscheduler“ und „AppInit_DLLs“ nichts Konkretes sagen. Deshalb möchte ich nicht leichtfertig einen Reinigungslauf von SmitFraudFix starten, sondern wäre euch dankbar, wenn ihr mir zunächst sagen könntet, was sie bedeuten und was ich jetzt tun sollte. Falls ich mich an ein anderes Forum wenden soll, gebt mir bitte einen entsprechenden Hinweis. Danke.

MfG
Kurt


SmitFraudFix v2.296
Scan done at 22:23:19,19, 28.02.2008
Run from C:\Programme\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\COSIDS\BIN\TbMux32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spnsrvnt.exe
C:\PROGRA~1\COSIDS\APACHE~1\APACHE\ApchT2kW.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Admin

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Admin\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Admin\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Hi,
das Log ist sauber. :) So direkt brauchst du also nichts zu tun.

Für den begriff "hosts" möchte ich dir wikipedia ans Herz legen. Das könnte ich nicht klar erklären. ;)
Der Begriff "corrupted" taucht auf, weil dein hosts-file nicht im Originalzustand ist. Das liegt IIRC in diesem Fall allerdings an Spybot.
Es wird der Zugang zu den beiden im Log auftauchenden Webseiten blockiert. Allerdings gibt es diese Seiten mE eh nicht mehr.
Also kein schlechtes Anzeichen.

"infected" taucht eigentlich nur im Satz "the following keys are not inevitably infected" auf. Zu deutsch: "Die folgenden Einträge müssen nicht unbedingt befallen sein"
Das ist lediglich eine Warnung, die in jedem Log auftaucht: Man soll nicht unbesehen Alles gefundene löschen, sondern erst überprüfen, ob die Einträge bösartig sind.

Solang unter den Sätzen keine Einträge sind muss man sich auch darüber gar keine Gedanken machen. ;)

Anders hier:
Da wurde ein Eintrag gefunden. Dieser Eintrag ist jedoch nicht bösartig, also auch hier kein Grund zur Sorge. (Gilt auch für die andern Einträge)

Bei den restlichen Begriffen handelt es sich um verschiedene Methoden nach Malware zu suchen. Smitfraudfix schaut nur an bestimmten Punkten im System, bzw mit bestimmten Methoden und listet die Ergebnisse nach Suchmethode getrennt auf.
Es wird allerdings in keinem der Abschnitte etwas gefunden.

Insgesamt also kein Anzeichen von Zlob. :)

lg myritlle

Guten Morgen myritlle,

ich bin beeindruckt von deiner Reaktion (inhaltlich und zeitlich) - herzlichen Dank für die Erläuterungen. Nun kann ich auf einen Reinigungslauf von SmitFraudFix verzichten, ruhigen Gewissens ein Abbild meiner Platte zur Sicherung anfertigen und entspannt bei Wikipedia u. a. Sites über die verwendeten Begriffe nachlesen :)

Viele Grüße,
Kurt