Trojan-Spy.HTML.Smitfraud.C
 

Hallo alle zusammen!

Bin hier schonlängere Zeit immer mal am Mitlesen, jetzt mußte ich mich aber doch mal anmelden da ich ein Prob habe wo ich nicht mehr weiter weiß!

Es handelt sich um: Trojan-Spy.HTML.Smitfraud.C und ich weiß auch das ich da hier jetzt hätte keinen neuen Thread aufmachen müßen da es schon einige dazu gibt, aber ich habe diese eben gelesen und alles nach dem Beschriebenen dort ausgeführt! ( also die beiden Datenen unter C:\ gelöscht etc. ) Wenn ich den Rechner aber dann wieder normal starte kann man nix machen also nichts auf dem Desktop anklicken. Das Sys ist aber nicht eingefroren da man die Maus bewegen kann und wenn man sie auf die Taskleiste bewegt erscheint die Sanduhr. Soll also heißen irgendwas mehrt die Kiste kann es aber scheinbar nicht ausführen und das legt den Rest lahm!?! Ich poste hier drunter mal das HJT-Log welches ich im abgesicherten Modus erstellt habe und ich hoffe einer kann mir weiter helfen da es nicht mein Rechner ist und ich ungern das Sys neu drauf spielen möchet.


Logfile of HijackThis v1.99.1
Scan saved at 16:37:06, on 08.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\NORMAN\nvc\BIN\NJEEVES.EXE
C:\NORMAN\nvc\BIN\nvcoas.exe
C:\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\NORMAN\nvc\BIN\ZLH.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\NORMAN\nvc\BIN\NYMSE.EXE
C:\NORMAN\nvc\BIN\NIP.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AIM95\aim.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\cmd.exe
A:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchdot.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchdot.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Frank\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Frank\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchdot.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdot.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdot.net
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchdot.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: CATLEvents Object - {13589181-4F0D-4553-B9F8-B4B72172C139} - C:\DOKUME~1\Frank\LOKALE~1\Temp\ksatrba.dat
O2 - BHO: (no name) - {1D68365D-B5DA-4F8E-BB9A-EFD7E71B970B} - C:\WINDOWS\System32\bdfb.dll
O2 - BHO: CATLEvents Object - {3EC8E271-FAB9-418a-8A8E-65AEB4029E64} - C:\DOKUME~1\Frank\LOKALE~1\Temp\cmrba.dat
O2 - BHO: CATLEvents Object - {44E5B409-35A2-4E8D-BF94-344222323A53} - C:\DOKUME~1\Frank\LOKALE~1\Temp\lrubv.dat
O2 - BHO: CATLEvents Object - {60112085-E1CE-4e0e-823A-EBB1AD98804C} - C:\DOKUME~1\Frank\LOKALE~1\Temp\cmrba.dat
O2 - BHO: CATLEvents Object - {BB54DE33-E539-4749-BFAC-CC49617E8F2A} - C:\DOKUME~1\Frank\LOKALE~1\Temp\ssvsa.dat
O2 - BHO: CATLEvents Object - {D487068E-9B04-4FE5-8A83-08344F800BF5} - C:\DOKUME~1\Frank\LOKALE~1\Temp\aluecvs.dat
O2 - BHO: CATLEvents Object - {FF4D5071-EE0E-4DCA-BC1C-D776B0F2276E} - C:\DOKUME~1\Frank\LOKALE~1\Temp\nurkab.dat
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Frank\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Microsoft AntiSpyware helper - {7F94E9EA-AD4E-4E10-9525-98D2943ACFE7} - C:\WINDOWS\System32\wldr.dll
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {7F94E9EA-AD4E-4E10-9525-98D2943ACFE7} - C:\WINDOWS\System32\wldr.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Microsoft AntiSpyware helper - {7F94E9EA-AD4E-4E10-9525-98D2943ACFE7} - C:\WINDOWS\System32\wldr.dll (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {7F94E9EA-AD4E-4E10-9525-98D2943ACFE7} - C:\WINDOWS\System32\wldr.dll (HKCU)
O16 - DPF: Dice Derby by pogo - http://game4.pogo.com/applet-6.1.0.3...-ob-assets.cab
O16 - DPF: Mah Jong Garden by pogo - http://game1.pogo.com/applet-6.1.3.2...-ob-assets.cab
O16 - DPF: Squelchies by pogo - http://game4.pogo.com/applet-6.1.0.3...-ob-assets.cab
O16 - DPF: Texas Hold'em Poker by pogo - http://game4.pogo.com/applet-6.1.0.3...-ob-assets.cab
O16 - DPF: World Class Solitaire by pogo - http://game4.pogo.com/applet-6.1.0.3...-ob-assets.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game11.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Filter: text/html - {807C27AF-D934-42E1-B09A-C83ED8F3AAD6} - C:\WINDOWS\System32\bdfb.dll
O18 - Filter: text/plain - {807C27AF-D934-42E1-B09A-C83ED8F3AAD6} - C:\WINDOWS\System32\bdfb.dll
O20 - Winlogon Notify: abrtask - C:\DOKUME~1\Frank\LOKALE~1\Temp\ksatrba.dat
O20 - Winlogon Notify: asvss - C:\DOKUME~1\Frank\LOKALE~1\Temp\ssvsa.dat
O20 - Winlogon Notify: binwms - C:\DOKUME~1\Frank\LOKALE~1\Temp\smwnib.dat
O20 - Winlogon Notify: cabms - C:\DOKUME~1\Frank\LOKALE~1\Temp\smbac.dat
O20 - Winlogon Notify: dblib - C:\DOKUME~1\Frank\LOKALE~1\Temp\bilbd.dat
O20 - Winlogon Notify: dlldb - C:\DOKUME~1\Frank\LOKALE~1\Temp\bdlld.dat
O20 - Winlogon Notify: logun - C:\DOKUME~1\Frank\LOKALE~1\Temp\nugol.dat
O20 - Winlogon Notify: rasav - C:\DOKUME~1\Frank\LOKALE~1\Temp\vasar.dat
O20 - Winlogon Notify: runodbc - C:\DOKUME~1\Frank\LOKALE~1\Temp\cbdonur.dat
O20 - Winlogon Notify: sdvd - C:\DOKUME~1\Frank\LOKALE~1\Temp\dvds.dat
O20 - Winlogon Notify: svrvb - C:\DOKUME~1\Frank\LOKALE~1\Temp\bvrvs.dat
O20 - Winlogon Notify: unap - C:\DOKUME~1\Frank\LOKALE~1\Temp\panu.dat
O20 - Winlogon Notify: vbnet - C:\DOKUME~1\Frank\LOKALE~1\Temp\tenbv.dat
O20 - Winlogon Notify: webfax - C:\DOKUME~1\Frank\LOKALE~1\Temp\xafbew.dat
O20 - Winlogon Notify: wun - C:\DOKUME~1\Frank\LOKALE~1\Temp\nuw.dat
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Virenschutz\AVKService.exe
O23 - Service: G DATA Virenschutz Wächter (AVKWCtl) - Unknown owner - C:\Programme\Virenschutz\AVKWCtl.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\nvc\BIN\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

beste Grüße
Caranthir

Hallo,

auf Anhieb fällt mir auf, daß
- du eine alte HiJackThis verwendest
- dein System und die verwendete Software nicht up to date ist
- du als Admin surfst

Benutze mal die Boardsuche und suche nach Smitfraud.
Solltest du keine Lösung, dann meld dich nochmal.

Hab jetzt unten das Log File mal erneuert und ich hoffe dies ist die neuste Version!

Ich bin nicht mit dem Rechner online den es betrifft und da habe ich es, wie schon gesagt, als Admin angemeldet im abgesicherten Modus erstellt!

Werde jetzt mal was probieren was ich bei der Boardsuche gefunden habe, aber es wäre schön wenn sich trotzdem nochmal einer jetzt neuere File unten anschauen könnte! ;)

Das sieht ja gar nicht gut aus dein Logfile scanne mal mit ESCAN Aufmerksam die Anleitung lesen und poste uns nachher das Logfile.

Ja, es ist die neueste Version und es sollte aber aus dem normalen Modus erstellt werden.
Editiere es nochmal und dann schau mer' mal. ;)

Hab ich ja im ersten Post schon geschrieben das ich leider im normalen Modus nichts machen kann außer die Maus bewegen!!!

Und das müßte ich ja erst einmal im abgesicherten Modus weg bekommen, gestaltet sich nur schwierig wenn ich nicht weiß was genau dieses Problem verursacht!

Was ich eben aus einem anderen Thread probieren wollte funktioniert leider auch nicht!

@The Saint
Was genau macht dieses Prog anders oder wieso ist es besser? Gestaltet sich nämlich schwierig da es nicht auf eine Diskette paßt und ich kann mit der Kiste leider nicht ans Netz!

OK - Ich mach das jetzt mal mit ESCAN! Habe es mit einer externen Platte realisiert!

Oh Man, das muß ja ein ganz ahnungsloser Internetnutzer sein! Hätte ich mich bloß nicht drauf eingelassen die Kiste mal zu begutachten!!! :(
«» Ich sag nur Total Virus(es) Found: 419 «»

Hier also mal die Ergebnisse von ESCAN und Ad-aware und da die extrem lang sind wollte ich sie hier nicht posten und habe sie mal schnell auf nen Server geladen!

eScan_Log
Ad-aware_Log


Nachtrag:

Habe jetzt die Kiste mal mal eine Weile laufen lassen und mußte feststellen das man nach einer Stunde ungefähr alles auch im normalen Modus wieder nutzen!
Habe jetzt mal einen HJT-Log davon gemacht und ihn in meinem ersten Post wieder ersetzt. Habe auch mal im Taskmanager nachgeschaut und muss sagen das da einige komische Prozesse laufen und insgesamt sind es 44 Stück. Dann habe ich noch während des Notierens eine Nachricht vom Virenprogramm welches da installiert ist bekommen ( Norman Virus Control <- was auch immer das sein soll ) die da lautet:

Ein unerwarteter Fehler ist aufgetreten, notieren Sie sich bitte diese Nachricht ehe Sie sich mit dem Support in Verbindung setzen!

Modul: cclaw.exe
Standort: CClaw.c(259)
Zeitstempel: Fri Jun 14 10:19:09 2002
Fehlercode: 0008000C
Fehlertext: NFSHOOKRC_PIPE_ERROR

Könnte sich einer das File unten mal anschauen und mir sagen was ohne Bedenken fixen könnte!?!

Soviel bis hier erst einmal...

Ich würde dir empfehlen das Betriebssystem neu aufzusetzen ist enorm viel an Malware auf dem Rechner.

Hier die Anleitung dazu

Das habe ich mir fast schon denken können! So eine Kiste ist mir bisher auch wirklich noch nicht unter die Augen gekommen! Dann werde ich mich mal daran machen ein neues Sys drauf zu spielen. *grummel*

ich danke Euch beiden hier aber trotzdem für Eure kompetente Hilfe!!!