|
smitfraud entfernt, weiter Probleme Ich hatte mir den Trojaner smitfraud eingefangen und gemäß http://www.trojaner-board.de/showthread.php?t=21709 gehandelt, hier nun mein Logfile: Logfile of HijackThis v1.99.0 Scan saved at 11:16:28, on 17.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Dokumente und Einstellungen\***\Desktop\Download\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.security2k.net/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.security2k.net/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.security2k.net/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.security2k.net/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.security2k.net/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.security2k.net/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://www.security2k.net/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Maus] C:\\Programme\\Microsoft Hardware\\Mouse\\point32.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Download with GetRight - C:\Programme\Misc\Tools\GetRight\GRdownload.htm O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\Misc\Tools\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\Net\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\Net\ICQ\ICQ.exe O15 - Trusted Zone: *.coolwebsearch.com O15 - Trusted Zone: *.searchmeup.com O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Nach wie vor sind aber einige Prozesse (nvsc32.exe, devldr32.exe, services.exe, lsass.exe, csrss.exe, smss.exe, alg.exe) am laufen, die ich bisher nur bei Virenbefall (o.a.) gesehen habe. Wer kann mir weiterhelfen? |
Die Logfiles von Smitrem und Escan wären zusätzlich interessant. |
wie bekomme ich bei smitrem ein logfile? bei escan brauchst du sicherlich das virus log?! |
Das Smitrem-Logfile findest du in folgendem Ordner: C:\smitfiles.txt Zum Escan Ergebnis: Zitat:
|
Escan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Datei C:\Programme\AVPersonal\INFECTED\msmsgs.VIR infiziert von "Trojan-Downloader.Win32.Small.bkg" Virus. Aktion vorgenommen: No Action Taken. Sat Sep 17 14:11:50 2005 => File C:\DOKUME~1\JONASS~1\LOKALE~1\TEMPOR~1\Content.IE5\01YZ89QJ\get[1].php infected by "Trojan-Downloader.JS.IstBar.x" Virus! Action Taken: Keine Aktion vorgenommen. Sat Sep 17 14:12:52 2005 => File C:\DOKUME~1\JONASS~1\LOKALE~1\TEMPOR~1\Content.IE5\0X2FOLMN\prompt[2].php infected by "Trojan-Downloader.JS.IstBar.k" Virus! Action Taken: Keine Aktion vorgenommen. Sat Sep 17 14:13:16 2005 => File C:\DOKUME~1\JONASS~1\LOKALE~1\TEMPOR~1\Content.IE5\4DI7CXIF\loader7[1].htm infected by "Trojan-Downloader.VBS.Psyme.ap" Virus! Action Taken: Keine Aktion vorgenommen. Sat Sep 17 14:17:14 2005 => File C:\DOKUME~1\JONASS~1\LOKALE~1\TEMPOR~1\Content.IE5\GLINKXUB\get[1].php infected by "Trojan-Downloader.JS.IstBar.x" Virus! Action Taken: Keine Aktion vorgenommen. Sat Sep 17 14:19:13 2005 => File C:\DOKUME~1\JONASS~1\LOKALE~1\TEMPOR~1\Content.IE5\NAKBRT8P\x3[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: Keine Aktion vorgenommen. Sat Sep 17 14:20:50 2005 => File C:\DOKUME~1\JONASS~1\LOKALE~1\TEMPOR~1\Content.IE5\U1WIFEZT\get[1].php infected by "Trojan-Downloader.JS.IstBar.x" Virus! Action Taken: Keine Aktion vorgenommen. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Sat Sep 17 14:04:03 2005 => File C:\Dokumente und Einstellungen\js\Desktop\Download\Programme\mavirc11.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.601. No Action Taken. Sat Sep 17 14:06:10 2005 => File C:\Dokumente und Einstellungen\js\Desktop\Half-Life CounterStrike\hltv.exe tagged as not-a-virus:Server-Proxy.Win32.Hltv. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Sat Sep 17 13:37:14 2005 => Virus Database Date: 2005/09/16 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ smiterem: smitRem log file version 2.3 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Wininet.dll ~~~ CLEAN! :) |
Lade und update Ad-aware und Spybot und lasse die Programme laufen. http://www.comsafe.de/download.html Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken. http://www.clearprog.de/ Leere den Quarantäne-Ordner Deines AV-Programmes. Danach lade Dir die aktuelle Version von HJT, denn Deine ist veraltet. Anschliessend neues HJT-Log sowie neuer escan. Lösche vorher die Datei mwav.log im Verzeichnis C:\bases_x. |
sorry, aber da habe ich lieber gleich formatiert :P nur habe ich nach ungefähr 5h das ding schon wieder eingefangen! wie kann ich mich effektiv davor schützen, ohne dass ich 20 unterschiedliche sicherheitsprogramme laufen hab? |
Indem du nochmal neu formatierst und deinen PC vor der ersten Internetverbindung richtig absicherst. Wie das genau funktioniert, wird hier beschrieben. Wenn du Fragen dazu hast, kannst du sie gerne hier stellen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board