Kann Smitfraud-C. nicht komplett löschen
 

Hallo Forum,

ich hoffe, dass ihr mir weiterhelfen könnt?! Ich habe mir vor kurzem üble Sachen im inet eingefangen. Einmal PSGuard (Smitfraud) mit Warnmeldung, die meinen desktop überlagerte; weiterhin hatte ich noch über Spybot CoolWWWSearch.toon.comics gefunden. Ich habe mir ziemlich viele eurer Beiträge angeschaut und mit euren Tipps und den Programmen Adaware, Spybot, smitrem, killbox und HijackThis gut aufgeräumt. Smitfraud und CoolWWWSearch habe ich weitestgehend beseitigt. Vielen Dank schon einmal für die vielen guten Tipps.
Ein Wermutstropfen bleibt allerdings, und zwar scheint Smitfraud-C. ziemlich hartnäckig zu sein. Spybot zeigt mir weiterhin den Smitfraud-C. mit 7 Hinweisen (Einträge in HKEY_USERS), die ich nicht entfernt bekomme. Diese scheinen zwar momentan keinen Schaden mehr anzurichten, aber ich würde mich wohler fühlen, wenn mein System wieder sauber wäre. Zur zeit benutze ich nur Firefox oder Opera und verzichte auf den IE.
Ich möchte euch bitten, euch mein HijackThis-Log anzuschauen und mir evtl. einen Tipp zu geben, wie ich die restlichen Fehlermeldungen wegbekomme.
Ich habe die oberen Einträge unter R1 und R0 im abgesicherten Modus gefixt, aber entfernen lassen sich die Einträge bisher nicht. Spybot findet sie immer wieder auf's Neue.

Logfile of HijackThis v1.99.1
Scan saved at 00:12:52, on 16.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\bcmwltry.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h***://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h***://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h***://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h***://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h***://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h***://www.bestwebslinks.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [removecpl] RemoveCpl.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html
O8 - Extra context menu item: amazon Suche - C:\Programme\Preispiraten\Preispiraten2\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - C:\Programme\Preispiraten\Preispiraten2\Searchamazon.htm
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Preispiraten\Preispiraten2\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Preispiraten\Preispiraten2\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\Preispiraten\Preispiraten2\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\Preispiraten\Preispiraten2\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\Preispiraten\Preispiraten2\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\Preispiraten\Preispiraten2\SearchGoogle.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: *.chip.de
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h***://banking.***.de/hbci/******
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h***://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123874693492
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB2FB8AA-B0B5-4C82-86CE-8BE4826F8144}: NameServer = ***.***.***.***.***.***.***.***.***
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Scheinbar handelt es sich bei den Fehlermeldungen um die Angaben mit **w.bestweblinks.com/...
Im mittleren Teil unter O4 sind noch PSGuard.exe. und msmsgs.exe aufgeführt, die aber nicht mehr auf der HDD existieren. Weiterhin habe ich vorsichtshalber C:\Programme\Messenger\msmsgs.exe umbenannt in msmsgs.old

Ich hoffe, ihr habt noch den ein oder anderen Tipp für mich auf Lager.
Vielen Dank!

grodrigo

Hallo,

lade bitte eScan herunter. Entpacke "ihn" richtig und führe das Update aus (Anleitung genau beachten!).

Fixe im abgesicherten Modus bei deaktivierter Systemwiederherstellung mit HijackThis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h***://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h***://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h***://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h***://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h***://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h***://www.bestwebslinks.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe

Lösche den Ordner C:\Programme\PSGuard manuell.

Scanne mit eScan und entferne - immer noch im abgesicherten Modus - die gefundene Maware wie beschrieben.

Scanne nochmals mit Spybot S&D u. Ad-Aware.

Neustart.

Problem behoben?

Wenn ja:
Neues HjT-Log und die Virus-Log-Information von eScan posten.

Wenn nein:
Neues HjT-Log, die Virus-Log-Information von eScan und die genaue Meldung von Spybot S&D posten.


Dürfte harmlos sein.



BTW: Wenn dir die O8- bzw. O9-Einträge unbekannt sind, solltest du sie ebenfalls fixen.

Sorry Haui

folgendes sollte doch die bessere Alternative sein:

[QUOTE=cronos]Sorry Haui

folgendes sollte doch die bessere alternative sein:


Hat er schon gemacht ;)

BTW:
@grodrigo
Poste doch auch mal das "smitrem-Log".

Upps-dennoch Lesen und umsetzen !;)
Mein Fehler - :huepp:

Hi
eventuell könnte hier dieser remover helfen
( nach anleitung ausführen )

Hallo Leute,

also ich bin noch nicht viel weiter gekommen.
Zunächst hatte ich der Einfachheit halber den remover (Tipp von Passat2002) geladen und laufen lassen. Danach konnte ich Windows nicht mehr starten, weil die wininet.dll fehlte. Ich habe dann das System über meine zweite HDD gestartet (WIN98 - schien mir momentan am einfachsten) und auf der anderen Platte die wininet.dll aus dem Verzeichnis .../Windows/ServicePackFiles rüberkopiert. Danach hat der Start über die erste HDD wieder funktioniert.

HiJackThis lieferte mir vorher immer 7 Probleme mit Smithfraud-C.
Dieser Eintrag war jetzt weg, dafür aber 10 Probleme mit PSGuard, obwohl auf meinem System keine Verzeichnisse oder Dateien mit "PSGuard" mehr existieren.
Scheinbar sind das wohl nur noch die Einträge in der Registry.

Also bin ich wieder in den abgesicherten Modus (Systemwiederherstellung natürlich deaktiviert) und habe laut den Angaben von Haui45 die Einträge gefixt und mit escan (mwav.exe - richtig?) gescannt.
Dazu drei Anmerkungen:
1. Update escan war vorher nicht möglich, da die Schaltfläche "Update" nicht aktiv ist
2. Angeblich wurden 2 Viren gefunden und mehrere falsche Einträge in der Registry. Kann ich diese löschen oder besser erst einmal nicht?
Die Log-Datei ist sehr umfangreich und wollte sie deshalb erst einmal nicht hier posten.
Kann ich überhaupt etwas an den gefundenen Fehlern über escan basteln, da zwischendurch auch einmal die Meldung kam, dass ich escan kaufen könne, um Änderungen durchzuführen zu können?
3. Nach der Aktion mit escan habe ich WinXP wieder normal gestartet. Dann kamen Hinweise von Spybot von Registry-Änderungen und anschliessend Meldungen, dass Änderungen von diesen Einträgen verboten seien. Kann es sein, dass Spybot Änderungen unterdrückt, auch gewünschte? (Die unterdrückten Änderungen scheinen vom fixen mit HijackThis her zu kommen).
Also, wie soll's weitergehen?
Das ellenlange escan-log posten? Die Fehlermeldungen von escan über "löschen" bearbeiten?

Gruss
grodrigo

Hast du anscheinend nicht gemacht, siehe:
Hast du offensichtlich nicht gemacht.

Dito.

Darum greift der Satz in meiner Sig.