Trojaner-Board - Logs nach entfernen von Smitfraud.c und se.dll

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Logs nach entfernen von Smitfraud.c und se.dll (https://www.trojaner-board.de/21376-logs-entfernen-smitfraud-c-se-dll.html)

Logs nach entfernen von Smitfraud.c und se.dll

Hi, nach entfernung von Smitfraud.c und se.dll hier mal meine logs.

Das System läuft immernoch nicht rund. Was noch nicht geht nach den logs.

Hijackthis-Logfile:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 13:51:24, on 31.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\System32\taskmgr.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: tcpGDC - tcpGDC.dll (file missing)

hier das eSCan_neu.txt

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Aug 30 09:21:49 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Aug 30 10:00:13 2005 => Scanne Verzeichniss: C:\Programme\AVPersonal\INFECTED\*.*
Wed Aug 31 10:42:58 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: Keine Aktion vorgenommen.
Wed Aug 31 11:06:26 2005 => Scanne Verzeichniss: C:\Programme\AVPersonal\INFECTED\*.*
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

und noch das smitrem Log:

Zitat:

smitRem log file
version 2.3

by noahdfear

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

oleext.dll
wppp.html

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

uninstIU.exe

~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Post-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Wininet.dll ~~~

CLEAN! :)

so...

des weiteren wär noch zu erzählen das der IE nicht geht. So ziemlich alle Dienste deaktiviert sind und sich teilweise auch nicht starten lassen.

Dann fehlt auch noch das XP Design. Kann nur klassisch auswählen.

An jeden der mir hilft schonmal ein dickes DANKE.

Das Forum hier hat mich echt schon viel weiter gebracht!!!

Hast du die Log Dateien im abgesicherten Modus erstellt?

Das HijackThis Log ist viel zu kurz!

Was hast du denn alles gefixed??

Zitat:

Hast du die Log Dateien im abgesicherten Modus erstellt?

JA!

also hier nochmal das HijackThis-Logfile im aktuellen Betrieb:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 15:02:49, on 31.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: tcpGDC - tcpGDC.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe

das HJT-Logfile scheint in ordnung zu sein. (abgesehen davon, dass du nicht Windows XP Service Pack 2 installiert hast und du keinen sicheren Browser wie Mozilla Firefox verwendest)

Zitat:

abgesehen davon, dass du nicht Windows XP Service Pack 2 installiert und du keinen sicheren Browser wie Mozilla Firefox verwendest

ist nicht mein Rechner. Ich hab ihn verseucht bekommen und versuch ihn nur zu reinigen.

Es läuft jetzt alles soweit. Aber der IE will auf Teufel komm raus nicht starten. Ne Idee warum?

also hab noch was rausgefunde....

wenn ich auf ne .htm Datei gehe und mit rechter Maustaste/öffnen mit den IE auswähle funzt er :teufel1:

aber sonst nicht! WEder über die Links auf Desktop und Schnellstart Menü. Noch über Programme/Internet Explorer/iexplore.exe

kann mir da jemand helfen???

Gruß
Spanky

vermutlich ist die datei beschädigt. ich denke das sollte kein problem sein. man kann nämlich auch ganz bequem surfen, wenn man bspw auf c: ist und dann in die adresszeile www.google.de schreibt ;)
das problem kann übrigens mit installation von sp2 behoben werden

also SP2 installieren hat für den Fall geholfen.

Nur warn jetzt nachdem ich in msconfig ein paar Einträge wieder aktiviert hab -> Touchpad und so....und Wiederherstellungskonsole wieder angestellt. Alle Dienste deaktiviert!!!!!

Woher kommt das????? Bin ich doch nicht Virenfrei???

Gruß
Spanky