Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Smitfraud c. oder Spyaxe oder mehr ...? (https://www.trojaner-board.de/24424-smitfraud-c-spyaxe-mehr.html)

Don Martin 11.12.2005 13:50
Smitfraud c. oder Spyaxe oder mehr ...?
 
Hallo zusammen, ich hoffe es kann sich auch mir einer annehmen:

Seit einigen Tagen erscheint in einer gelben Sprechblase die bekannte Meldung "Your computer is infected! Windows has detected ...usw." - dazu blinkt ein rotes Kreissymbol mit weißem Kreuz in der Taskleiste unten rechts auf dem Bildschirm.
Spybot identifiziert das Problem als "Smitfraud c." kann diesen laufenden Prozess dann aber nicht entfernen. In diversen Foren finde ich jedoch auch Hinweise auf Spyaxe - entsprechende Sa1.tmp bis SA2f.tmp-Einträge finde ich unter meinen "lokalen Einstellungen".

Daneben versucht laufend irgendetwas das internet aufzurufen. Lt. t-online Öffnungsfenster soll das der internet explorer sein...

Wäre toll, wenn mir jemand von Euch zur Hand ginge. Nachfolgend also das Hijackthis-logfile.
Danke vorab!

Logfile of HijackThis v1.99.1
Scan saved at 13:10:52, on 11.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\7_PC_SCHUTZ_REPARATUR\ANTIVIRUS\AVGUARD.EXE
C:\Programme\7_PC_Schutz_Reparatur\antivirus\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\1_Kopierprogramme\Clone_CD\CloneCD\CloneCDTray.exe
C:\Programme\7_PC_Schutz_Reparatur\antivirus\AVGNT.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\4_Video_bearbeiten\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\3 Tools\Winzip_Be_und_Entpacker\WZQKPICK.EXE
D:\Tools\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\7_PC_Schutz_Reparatur\Security Task Manager\TaskMan.exe
C:\Programme\7_PC_Schutz_Reparatur\Hijackthis\hijackthis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w*w.findin.org/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w*w.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://w*w.findin.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\1_Kopierprogramme\Clone_CD\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\1_Kopierprogramme\Clone_CD\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "D:\Tools\Kopieren\DVD\CLONEDVD1171\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\7_PC_Schutz_Reparatur\antivirus\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\4_Video_bearbeiten\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\system32\1024\ld4AB2.tmp" /m
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\3 Tools\Winzip_Be_und_Entpacker\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\5_Bildbearbeitung\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\7_PC_SCHUTZ_REPARATUR\ANTIVIRUS\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\7_PC_Schutz_Reparatur\antivirus\AVWUPSRV.EXE
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Melonenkopf 11.12.2005 14:11
Hallo

Folgendes habe ich rausgefunden

C:\WINDOWS\system32\mssearchnet.exe (Trojan Downloader)
was ist dieser Security Task manager ?

Lass die anderen auch noch mal drüberschauen.

mfG Alexander

Don Martin 11.12.2005 14:45
Der security task manager ist ein tool, mit dem man verdächtige Programme auflisten lassen kann - dieser hat mir ebenfalls u.a. die mssearchnet.exe ausgeworfen...


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:49 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131