Trojaner-Board - Trojan spy Smithfraud

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan spy Smithfraud (https://www.trojaner-board.de/19435-trojan-spy-smithfraud.html)

Trojan spy Smithfraud

Hallo

Mein PC ist damit seit gestern infiziert.
Auch im abgesicherten Modus ist es nicht möglich, auf die Programme zuzugreifen - es kommt nur die Meldung:

Explorer:Diese Anwendung wird aufgrund eines ungültigen Vorganges geschlossen.
Nix rührt sich am Bildschirm, PC hängt.

Heute klickste ich im normalen Modus in meiner Verzweiflung in Sekundenbruchteilen - bevor die Meldung kam - auf Firefox. Jetzt bin ich wenigstens im internet, Startmenü funktionniert aber nicht, ich sehe nur die Sanduhr dort.
Bitte Leute, gibt es irgendwo ein downloadbares Removertool oder hat jemand eine Ahnung, was ich sonst machen könnte?

Freundliche Grüsse,
Kassandra

P.s.: PC Version: Win98Se

Arbeite das mal ab.

http://www.trojaner-board.de/showthread.php?t=17863

Melde dich danach wieder.

Danke Cronos!

Alles durchgelesen, killbox heruntergeladen, geöffnet, sie funktionniert - Uff!

Bei mir ist aber Folgendes los: Im abgesicherten Modus kann ich nichts öffnen, alle Bedienungselemente sind eingefroren.
Ich konnte mich heute nur durch schnelles Klicken mit I-Net verbinden, (Bevor Sicherheitswarnung auftauchte).
Momentan browse ich mit Firefox, kann aber kein 2.Fenster mehr öffnen, Taskleiste ist unsichtbar, Fenster für Links fehlt, ebenso vor- und zurück- bottoms.
Die Meldung: "Explorer:Anwendung wird geschlossen..." verschiebe ich hin und her, um lesen zu können. Wenn ich nämlich ok sage, bricht I-Net zusammen.

Du, ich bin wirklich Amateur, wenn ich einfach die Dateien von Deinem Link in die Killbox kopiere, (kann da jetzt nicht rüber, sonst müsste ich wieder über Google hierher zurück) - würde das funktionnieren?

LG,
Kassandra

Zitat:

Zitat von Kassandra

Du, ich bin wirklich Amateur, wenn ich einfach die Dateien von Deinem Link in die Killbox kopiere, (kann da jetzt nicht rüber, sonst müsste ich wieder über Google hierher zurück) - würde das funktionnieren?

LG,
Kassandra

So könntest du in der Tat vorgehen.

Hallo Profis

Bitte nicht lachen, ich beneide Euch um Eure Kenntnisse!
Bin kurz vorm "Nervenzusammenbruch"
Habe mühsam alles files abgepinselt, dann in die killbox eingetragen(habe keine taskleiste mehr, sobald ich ins Forum gehe ist die killbox pfutsch und nirgendwo mehr zu finden). Dann im abgesicherten mode gestartet, konnte gerade spyboot öffnen (der meinte nach scan, es gäbe ein zugriffsverbot) und auf einmal hat alles wieder blockiert.
Wieder normal gestartet, wieder zur killbox, dann wieder gestartet und plötzlich war alles normal, sogar meine Taskleiste.
Ich habe sofort Adaware geöffnet und wollte updaten, da geht mir GoldenAntivirus auf (das icon war schon vorher am Desktop). Wieder blockiert das System.
Also wieder gestartet, nochmals zur killbox, wieder gestartet, egal in welchem Modus - der PC hängt.
Weiss mir keine Hilfe mehr, versuchte vorher Antivir downzuladen, da ich ja nicht auf meine Programme zugreifen kann. Das bleibt auch mitten in der Installation hängen.
Leider habe ich nur wenige Kenntnisse, aber "noch mehr leider" bin ich auch verdammt hartnäckig.
Übrigens habe ich auch mit Hijack gescannt, der fand einen GoldenAntivir Eintrag, den habe ich fixiert. Änderte aber auch nichts am Problem.

Mich wundert, warum ich überhaupt noch ins Inet komme.....

Im wahrsten Sinne des Wortes:
Gute Nacht!

Hier noch das letzte Ergebnis vom Hijack, vielleicht hilft es ja..

Logfile of HijackThis v1.99.1
Scan saved at 21:22:35, on 01.07.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\MESSENGER PLUS! 3\MSGPLUS.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\EIGENE DATEIEN\EIGENE DOWNLOADS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rcbsaaxgjnmvtjyetapz.com/...MCz83ZoRdh.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://internet.sunrise.ch/de/hom/default.asp
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {AAAC3A36-9407-9825-F453-4C3D5739E8C9} - C:\WINDOWS\PROFILES\AK\ANWENDUNGSDATEN\WIN MEDIA COPY\REMOTETRAY.EXE (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [Itch Aim Time Bias] C:\WINDOWS\Profiles\ak\Anwendungsdaten\Surf pure itch aim\Build Knob.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [Skype] "C:\PROGRAMME\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized
O4 - HKCU\..\Run: [Hidewipe] C:\WINDOWS\PROFILES\AK\ANWEND~1\SHOWDR~1\Pure log.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\Q4659336_DISK.DLL

@
diesen datei online überprüfen lassen
C:\WINDOWS\Q4659336_DISK.DLL
und zwar hier http://virusscan.jotti.org/de/

deinstalliere über systemsteuerung, software, MessengerPlus3

wechsle in den abgesicherten modus und fixe mit HJT:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rcbsaaxgjnmvtjyetapz.com...CMCz83ZoRdh.php

falls du diesen eintrag nicht kennst(wenn das nicht deine startseite ist), dann fixen
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://internet.sunrise.ch/de/hom/default.asp

fixen
O2 - BHO: (no name) - {AAAC3A36-9407-9825-F453-4C3D5739E8C9} - C:\WINDOWS\PROFILES\AK\ANWENDUNGSDATEN\WIN MEDIA COPY\REMOTETRAY.EXE (file missing)
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"

wenn du diesen einträge nicht kennst, dann fixen
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

fixen
O20 - Winlogon Notify: style2 - C:\WINDOWS\Q4659336_DISK.DLL

danach manuell löschen
C:\WINDOWS\Q4659336_DISK.DLL
C:\Programme\Messenger Plus! 3\MsgPlus.exe(falls noch vorhanden)

neu booten, neues HJT logfile posten

chaosman

Hallo Chaosman

Datei: Q4659336_DISK.DLL
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
UPX

AntiVir
TR/Dldr.Delf.PA gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Delf.lh gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden

Logfile of HijackThis v1.99.1
Scan saved at 00:30:54, on 02.07.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\EIGENE DATEIEN\EIGENE DOWNLOADS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://internet.sunrise.ch/de/hom/default.asp
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [Itch Aim Time Bias] C:\WINDOWS\Profiles\ak\Anwendungsdaten\Surf pure itch aim\Build Knob.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [Skype] "C:\PROGRAMME\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized
O4 - HKCU\..\Run: [Hidewipe] C:\WINDOWS\PROFILES\AK\ANWEND~1\SHOWDR~1\Pure log.exe
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\Q4659336_DISK.DLL

In die Systemsteuerung komme ich beim besten Willen nicht rein.
Weder im normalen Modus, noch im abgesicherten.
Desktop erscheint zwar, aber alles ist "eingefroren" , nur auf firefox kann ich klicken - und das auch nur, wenn ich ungeheuer schnell bin (bevor diese Meldung vom ungültigen Vorgang aufscheint)

O20 - Winlogon Notyfy:... habe ich übrigens auch gefixt, sehe gerade, dass es trotzdem wieder da ist.

viellleicht weisst Du ja ein Hintertürl für die Systemsteuerung, Danke erstmal!

Hast du denn das schon versucht:

Zitat:

Ein Reg.File, das die meisten Registryveränderungen rückgängig macht,findet sich hier .Dazu rechtsklick auf den Link, "speichern unter" wählen, danach die gespeicherte Datei aufrufen.Die folgende Frage mit ja beantworten.Veränderungen werden jetzt vorgenommen

Hallo Cronos

Ja, den Beitrag habe ich schon am Nachmittag gelesen, aber es dann fallen lassen, da ich weder so noch andersrum Zugriff auf meine Festplatte habe.

Jetzt habe ich es trotzdem versucht -
rechter Mausklick, Ziel speichern unter, dann kam die "Sanduhr", der PC hat sich wieder aufgehängt, also habe ich nochmals starten müssen usw.
Jetzt bin ich wieder da :)
Ehrlich, ich bin 42 Jahre und alles, was ich über PC weiss, habe ich mir selbst durch Probieren beigebracht.
Vielleicht werde ich es auch mit Eurer Hilfe nicht schaffen, den Virus zu entfernen, vielleicht doch - Ich tue mein Bestes
Auf jeden Fall habe ich heute hier etwas über Menschlichkeit gelernt

Danke!

Du hast alle Vorschläge im abgesicherten Modus abgearbeitet?

Versuche auch mal folgendes:

http://www.trojaner-board.de/showpos...73&postcount=7

Hallo Cronos

Das ist ja mein Problem, ich komme auch im abgesicherten Modus nicht in die Systemsteuerung und an meine Programme.
Zuerst kommt die Meldung:"Windows werden im abgesicherten Modus ausgeführt" drück ich dann auf ok, erscheint die Meldung: "Diese Anwendung wird aufgrund eines ungültigen Vorgangs geschlossen" - Sage ich da ok, kommt wieder die 1.Meldung.
Dieses File aus Deinem Beitrag habe ich eben auf jotti auf gut Glück versucht hochzuladen (habe ja keine Möglichkeit, nachzusehen, ob es überhaupt am PC ist).
Folgende Meldung habe ich erhalten:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file
Firewall hatte ich mal, musste ihn aber wieder deinstallieren, Win98Se hängte sich dauernd auf - leider.
Den Rest lese ich mir morgen durch, besser ich mache jetzt Schluss, bevor ich noch vorm PC kollabiere...

Lg,
Kassandra

Du mußt alle Tipps gänzlich ausführen, nicht nur teilweise.

Check mal dein System mit Escan Teile uns die Ergebnisse mit.

Hallo nochmal!

4Tage trojanischer Krieg, zuerst habe ich Windows neu installiert, zwar konnten einige Komponenten nicht installiert werde, aber die Systemsteuerung ging endlich auf.
Dann mit altem Antivir durchgescannt, trojan downloader entfernt.....
Fazit:
kein Internetzugang mehr.
Dann habe ich halt herumgebastelt, immer wieder versucht zu installieren usw.
Kzk, jetzt scheine ich es geschafft zu haben, momentan läuft e.scan, werde noch den ganzen Abend Viren suchen.

Hoffe, dass alles ok ist:

Logfile of HijackThis v1.99.1
Scan saved at 20:59:25, on 05.07.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\CANON\MULTIPASS4\MPDBMGR.EXE
C:\EIGENE DATEIEN\EIGENE DOWNLOADS\IWN2K3E.EXE
C:\WINDOWS\INS1095.TMP
C:\PROGRAMME\ESCAN\TRAYICOS.EXE
C:\PROGRAMME\ESCAN\MAILDISP.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\PROGRAMME\ESCAN\SPOOLER.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\ESCAN\ESCANWIN.EXE
C:\PROGRAMME\ESCAN\KAVSS.EXE
C:\EIGENE DATEIEN\EIGENE DOWNLOADS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ....://internet.sunrise.ch/de/hom/default.asp
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Welcome] C:\WINDOWS\Welcome.exe /R
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [eScan Updater] C:\PROGRA~1\ESCAN\TRAYICOS.EXE
O4 - HKLM\..\RunServices: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE /service
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll

eine Frage hätte ich noch:
Firefox zeigt mir auch weiterhin keine Bedienungsknöpfe und kein www. Fenster.
Hat er etwas abgekriegt und muss ich ihn vieleicht auch neu installieren?

Danke und viele Grüsse!
Kassandra