Trojaner-Board - Smitfraud C HILFE!!!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Smitfraud C HILFE!!! (https://www.trojaner-board.de/20586-smitfraud-c-hilfe.html)

Smitfraud C HILFE!!!

Ich hoffe ich bin hier richtig!
Ok...es wurde ja schon einigemale darüber geposted. Ich hab mir smitfraud c eingefangen.
Habe auch schon einiges probiert um ihn wieder los zu werden.
[http://www.trojaner-info.de/hijacker/smitfraud.html; http://www.trojaner-board.de/showthread.php?t=17863 beide Vorschläge]
Aber nichts hat genützt. Nach Neustart war er immer wieder da.

Ich muß sagen, ich bin nicht so der Chef am PC. Hoffe ihr könnt mir als blutigen Amateur helfen.

Bring der Hijack (was auch immer das sein mag?!) etwas?

Logfile of HijackThis v1.99.1
Scan saved at 22:36:42, on 07.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\**\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis-1.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1121681091453
O17 - HKLM\System\CCS\Services\Tcpip\..\{A485FD45-4347-4C10-A9C6-C012F8A18645}: NameServer = 192.168.0.1
O23 - Service: ARCGIS License Manager - Unknown owner - C:\PROGRA~1\ESRI\License\arcgis9x\lmgrd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe

Des Weiteren hilf das vielleicht?

smitRem log file
version 2.3

by noahdfear

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

oleadm.dll
wp.bmp

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Post-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

oleadm.dll
wp.bmp

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Wininet.dll ~~~

CLEAN! :)

Jaaa...wie gesagt...hab kein Plan was mir das alles sagen soll...!!
Wenn jemand weiß und mir helfen kann, wie ich das Ding endlich los werde...wenn möglich ohne die Festplatte zu formatieren...

Cu Jens

Wir brauchen auch noch die Ergebnisse von Escan.Das wird auch in der Anleitung beschrieben.

http://www.trojaner-board.de/thema/smitfraudfix.html

Hab auch das Problem gehabt!! Wichtig ist das Program "smitrem" im abgesicherten Modus!! Dann klappt es!!

Jaaa..nachdem ich alles noch mal Schritt für Schritt im abgesicherten Modus durchgegangen bin und am Ende die vom Escan angegebenen Files mit Killbox gelöscht hab (hatte ich beim erst mal vergessen!), nun der neue Hijack

Logfile of HijackThis v1.99.1
Scan saved at 14:42:51, on 08.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ESRI\License\arcgis9x\lmgrd.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\ESRI\License\arcgis9x\ARCGIS.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1121681091453
O17 - HKLM\System\CCS\Services\Tcpip\..\{A485FD45-4347-4C10-A9C6-C012F8A18645}: NameServer = 192.168.0.1
O23 - Service: ARCGIS License Manager - Unknown owner - C:\PROGRA~1\ESRI\License\arcgis9x\lmgrd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe

Das ergebnis vom Escan

File C:\WINDOWS\system32\WININET.dll infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\OLEADM.dll infected by "Trojan.Win32.Agent.ff" Virus! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0EDBF030-7A70-476E-8ED4-7A3A65711560}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{1808F56E-545C-4211-A5AD-4BC00A9AD310}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{2279BBD5-2A96-488F-8938-2D3EE248DE49}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{3F47704E-9B1F-446A-AFA7-99E256F95287}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
File C:\WINDOWS\system32\oleadm.dll infected by "Trojan.Win32.Agent.ff" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\wininet.dll infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.
File D:\K7001\Sony Ericsson K700i\Aplicaçoes\ActiveViewer\vnc-3.3.7-x86_win32.zip tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
File C:\WINDOWS\system32\oleadm.dll infected by "Trojan.Win32.Agent.ff" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\wininet.dll infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.

und...

smitRem log file
version 2.3

by noahdfear

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ShudderLTD key present! Running LTDFix!

ShudderLTD key was successfully removed! :)

Pre-run Files Present

~~~ Program Files ~~~

PSGuard

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

oleadm.dll
wp.bmp

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Post-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

oleadm.dll
wp.bmp

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Wininet.dll ~~~

CLEAN! :)

Soo...wenn noch mal jemand drüber schauen könnte....Großes Dankeschön!
Bis jetzt sieht es so aus, als wäre ich smitfraud wirklich los...

ohh...zu früh gefreut! Hab nochmal Spybot im normal Modus drüberlaufen lassen...und hat wieder Smitfraud C gefunden!! TOLL! Hab mich wirklich GENAU an die Anleitung gehalten...
Als Warnmeldung kommt bei Spybot immer: Einige Probleme Konnten nicht behoben werden; der Grund könnte sein, dass die entsprechenden Dateien immer noch im Speicher residieren. Dies kann wahrscheinlich nach einem Neustart behoben werden. Darf Spybot mit dem nächsten Systemstart automatisch mitstarten?

Wenn ich auf Ja klicke, sucht er beim Neustart. Kommt zu dem selben Ergebnis...das Spiel könnte ich Tage lang spielen...Ohne jede Wirkung!!

Bin ich einfach zu blöd um den wegzukriegen? Oder noch jemand ne Idee? Vorschläge?

Bin langsam am Verzweifeln...

Lösche im Verzeichnis c:\bases_x die Datei mvaw.log. Dann lasse den escan nochmals genau nach Anleitung laufen. Poste dann das mit der Datei find.bat erzeugte Log. Aber komplett.

Lasse alles so, fixe und lösche erst mal nichts.

Löschen bzw. desinfizieren kannst du aber doch schon mal folgendes:

Desinfiziere diese Datei:

C:\WINDOWS\system32\wininet.dll

folgendermaßen:

1. Benenne sie um, z.b. wininet.dll-backup
2. Kopiered diese Datei:

C:\WINDOWS\ServicePackFiles\wininet.dll

in den Ordner:

C:\WINDOWS\system32

3. Lösche die umbenannte Datei

Danach lösche folgende Datei:

C:\WINDOWS\system32\OLEADM.dll

Hallo,
habe mir ebenso smitfraud eingefangen. Habe mir auf Anraten erst einmal smitrem und escan runtergeladen (jedoch beides als *.exe-file). Bei escan erhalte ich aber nun folgende Nachricht:

Internal Error!!! This could be because of incorrect system date setting or missing *.AVC/*.SET signature files or corrupt *.AVC/*.SET files. Please send MWAV.LOG file to support@mwti.net

Your license for the use of eScan Anti-Virus is expired. eScan Anti-Virus Update will not update anti-virus bases.
WARNING: escan Anti-Virus cannot work with the anti-virus bases installed manually.

Liegt der Fehler am Download, oder an meinen Systemeinstellungen?
Gibt es noch andere Möglichkeiten zur Behebung des Problems.

Gruss
cicero