Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Smitfraud c. und Doubleclick ...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 07.10.2005, 07:44   #1
Sonnenfahrer
 
Smitfraud c. und Doubleclick ... - Standard

Smitfraud c. und Doubleclick ...



Spybot kann Smitfraud c. nicht entfernen und meldet 40 Einträge .
(und Doubleclick kommt auch immer wieder).

Logfile of HijackThis v1.99.1
Scan saved at 08:43:15, on 07.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\MPM\MpmSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\TELE\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
D:\PROGRAMME\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {BD84965D-F8A8-4EA6-BD0C-EAD13E1B58CE} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - d:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\TELE\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: msimn.exe.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Startup: zlclient.exe.lnk = C:\Programme\TELE\ZoneAlarm\zlclient.exe
O4 - Global Startup: PowerISDNMonitor 4.2.lnk = D:\PROGRAMME\PowerISDNMonitor\pimjava.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\MM\IrfanView\Ebay\Ebay.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2034F317-BABE-43F7-98E9-C193CFB5BBF8}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{867EF722-F618-4E8F-B87B-12669E4D6A4A}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B211A8D-F56B-4B89-AD4F-A42E17EAD7BA}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA57B507-9940-4BF3-93B4-B45DDF5D00AE}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBAE07C4-EDB0-4993-9A62-09F971585F53}: NameServer = 69.50.176.196,195.225.176.110
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MPM MultiPlugMate Service (MpmSvc) - K. Hofacker, Hamburg, Germany, ***.gslantern.com - C:\Programme\MPM\MpmSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[edit]
links entfernt
[/edit]

Geändert von GUA (08.10.2005 um 07:34 Uhr)

Alt 07.10.2005, 08:02   #2
stupormundi
 
Smitfraud c. und Doubleclick ... - Standard

Smitfraud c. und Doubleclick ...



Servus, Sonnenfahrer!
Hast Du diese Anleitung schon abgearbeitet http://www.trojaner-board.de/showthread.php?t=21709 ?
Die Einträge. v.a der fette
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{2034F317-BABE-43F7-98E9-C193CFB5BBF8}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{867EF722-F618-4E8F-B87B-12669E4D6A4A}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B211A8D-F56B-4B89-AD4F-A42E17EAD7BA}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA57B507-9940-4BF3-93B4-B45DDF5D00AE}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBAE07C4-EDB0-4993-9A62-09F971585F53}: NameServer = 69.50.176.196,195.225.176.110
verweisen in die Ukraine
Zitat:
inetnum: 195.225.176.0 - 195.225.179.255
netname: NETCATHOST
descr: NetcatHosting
country: UA
admin-c: VS1142-RIPE
tech-c: VS1142-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: NETCATHOST-MNT
mnt-routes: NETCATHOST-MNT
source: RIPE # Filtered
remarks: ****************************************
remarks: * Abuse contacts: abuse@netcathost.com *
remarks: ****************************************
person: Vsevolod Stetsinsky
address: 01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 206.
phone: +38 050 6226676
e-mail: vs@netcathost.com
nic-hdl: VS1142-RIPE
source: RIPE # Filtered
% Information related to '195.225.176
Quelle: ripe.net.
Falls Du also keinen ISP in der Ukraine hast, solltest Du diese Einträge fixen.
Nach der "Desinfektion" neues Logfile und Ergebnisbericht
bis dann, stupormundi
__________________


Alt 07.10.2005, 08:33   #3
Sonnenfahrer
 
Smitfraud c. und Doubleclick ... - Standard

Smitfraud c. und Doubleclick ...



...ach ja, ein paar von Spybot gemeldete Einträge:
__________________
Miniaturansicht angehängter Grafiken
Smitfraud c. und Doubleclick ...-spybot.gif  

Alt 07.10.2005, 14:15   #4
Sonnenfahrer
 
Smitfraud c. und Doubleclick ... - Standard

Smitfraud c. und Doubleclick ...



Danke, stupormundi ,

habe escan im abgesicherten Modus laufen lassen (hat 2 Dateien gelöscht und eine umbenannt)
und in der Registry die 40 Smitfraud-Einträge gelöscht.

Hoffe, jetzt ist alles i.O. ?!

Alt 07.10.2005, 14:28   #5
Sonnenfahrer
 
Smitfraud c. und Doubleclick ... - Standard

Smitfraud c. und Doubleclick ...



ach ja, hier kommt das Logfile of HijackThis v1.99.1
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TELE\ZoneAlarm\zlclient.exe
D:\PROGRA~1\eScan\MAILDISP.EXE
D:\PROGRA~1\eScan\TRAYICOS.EXE
D:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\javaw.exe
D:\PROGRA~1\eScan\SPOOLER.EXE
d:\PROGRA~1\eScan\MAILSCAN.EXE
d:\PROGRA~1\eScan\kavss.exe
D:\PROGRA~1\eScan\AvpM.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
d:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
d:\PROGRA~1\eScan\avpm.exe
C:\Programme\MPM\MpmSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
D:\PROGRAMME\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {BD84965D-F8A8-4EA6-BD0C-EAD13E1B58CE} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - d:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\TELE\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "d:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] d:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] d:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: msimn.exe.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Startup: zlclient.exe.lnk = C:\Programme\TELE\ZoneAlarm\zlclient.exe
O4 - Global Startup: PowerISDNMonitor 4.2.lnk = D:\PROGRAMME\PowerISDNMonitor\pimjava.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\MM\IrfanView\Ebay\Ebay.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2034F317-BABE-43F7-98E9-C193CFB5BBF8}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{867EF722-F618-4E8F-B87B-12669E4D6A4A}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B211A8D-F56B-4B89-AD4F-A42E17EAD7BA}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA57B507-9940-4BF3-93B4-B45DDF5D00AE}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBAE07C4-EDB0-4993-9A62-09F971585F53}: NameServer = 69.50.176.196,195.225.176.110
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - d:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - d:\PROGRA~1\eScan\avpm.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MPM MultiPlugMate Service (MpmSvc) - K. Hofacker, Hamburg, Germany, ***.gslantern.com - C:\Programme\MPM\MpmSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[edit]
links entfernt
[/edit]


Geändert von GUA (08.10.2005 um 07:33 Uhr)

Alt 07.10.2005, 15:18   #6
Sonnenfahrer
 
Smitfraud c. und Doubleclick ... - Standard

HILFEEEE !!! Gefixt, jetzt komm ich nicht mehr ins Netz



Habe 5 Einträge gefixt - jetzt geht nix mehr. Bitte um Anleitung, damit ich wieder ins Netz komme. ISP ist 1&1 DSL (bin jetzt hier bei ´nem Freund).

Die gefexten Einträge waren (habe bei HijackThis leider kein Backup!):

O17 - HKLM\System\CCS\Services\Tcpip\..\{2034F317-BABE-43F7-98E9-C193CFB5BBF8}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{867EF722-F618-4E8F-B87B-12669E4D6A4A}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B211A8D-F56B-4B89-AD4F-A42E17EAD7BA}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA57B507-9940-4BF3-93B4-B45DDF5D00AE}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBAE07C4-EDB0-4993-9A62-09F971585F53}: NameServer = 69.50.176.196,195.225.176.110

Alt 07.10.2005, 15:24   #7
felix1
/// Helfer-Team
 
Smitfraud c. und Doubleclick ... - Standard

Smitfraud c. und Doubleclick ...



Das sollte Dir helfen:
http://www.cexx.org/lspfix.htm

Alt 07.10.2005, 17:07   #8
Sonnenfahrer
 
Smitfraud c. und Doubleclick ... - Standard

Hilffeeeeeeeeeeee !!!!!!!!!!!!!!!!!!!



... klappt nicht / hilft leider nicht !!! ...

Wer weiß, wie ich die gefixten Einträge wieder rückeintragen kann ???

Alt 07.10.2005, 19:02   #9
Expert
 
Smitfraud c. und Doubleclick ... - Standard

Smitfraud c. und Doubleclick ...



]hey

Diese O17 Einträge musst du unbeding fixen:
CWS Domaine(IP)
Systemwiederherstellung versuchen & neue HijackThis Log posten

Gruss
Expert

Geändert von Expert (07.10.2005 um 19:14 Uhr)

Alt 08.10.2005, 00:18   #10
Sonnenfahrer
 
Smitfraud c. und Doubleclick ... - Standard

Hilfe !!! -nach Fix kein Netz mehr



Hi expert,

Systemwiederherstellung hatte ich in xp abgeschaltet wg. Löschung von Smitfraud c.

Und nun?

Alt 08.10.2005, 11:16   #11
Expert
 
Smitfraud c. und Doubleclick ... - Standard

Smitfraud c. und Doubleclick ...



@Sonnenfahrer

Poste mal ein HijackThis Log

Gruss
Expert

Alt 12.10.2005, 06:59   #12
Sonnenfahrer
 
Smitfraud c. und Doubleclick ... - Standard

Smitfraud c. und Doubleclick ...



Hi Expert, nach hier das aktuelle log. Is jetzt alles ok?

Logfile of HijackThis v1.99.1
Scan saved at 07:57:56, on 12.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TELE\ZoneAlarm\zlclient.exe
D:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Outlook Express\msimn.exe
D:\PROGRA~1\eScan\SPOOLER.EXE
d:\PROGRA~1\eScan\MAILSCAN.EXE
d:\PROGRA~1\eScan\kavss.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
d:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\MPM\MpmSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\User\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {BD84965D-F8A8-4EA6-BD0C-EAD13E1B58CE} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - d:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\TELE\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "d:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] d:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] d:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: msimn.exe.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Startup: zlclient.exe.lnk = C:\Programme\TELE\ZoneAlarm\zlclient.exe
O4 - Global Startup: PowerISDNMonitor 4.2.lnk = D:\PROGRAMME\PowerISDNMonitor\pimjava.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\MM\IrfanView\Ebay\Ebay.htm
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E5558D7-E34D-4C79-BBE8-5F771B44ED86}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - d:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - d:\PROGRA~1\eScan\avpm.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MPM MultiPlugMate Service (MpmSvc) - K. Hofacker, Hamburg, Germany, w*w.gslantern.com - C:\Programme\MPM\MpmSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[edit]
links entfernt
[/edit]

Geändert von GUA (21.10.2005 um 18:59 Uhr)

Alt 12.10.2005, 07:06   #13
stupormundi
 
Smitfraud c. und Doubleclick ... - Standard

Smitfraud c. und Doubleclick ...



Servus, sonnenfahrer!
Noch nicht ganz
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 07:57:56, on 12.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
SP2 + Sicherheitspatches fehlen - nachholen!
Diese Einträge
Zitat:
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {BD84965D-F8A8-4EA6-BD0C-EAD13E1B58CE} - (no file)
noch fixen
Die hier
Zitat:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
wenn von Dir nicht gewollt, auch fixen!
Das hier
Zitat:
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
mit lspfix http://www.cexx.org/lspfix.htm reparieren!
Dann neues HJT Log posten
cu, stupormundi

Alt 21.10.2005, 17:55   #14
Sonnenfahrer
 
Smitfraud c. und Doubleclick ... - Standard

Smitfraud c. und Doubleclick ...



..........

Geändert von Sonnenfahrer (21.10.2005 um 18:01 Uhr)

Alt 21.10.2005, 17:59   #15
Sonnenfahrer
 
Smitfraud c. und Doubleclick ... - Standard

Smitfraud c. und Doubleclick ...



Hallo und danke für die Info.

Aber:

02 kommt immer wieder nach einem Neustart, nur im abgesicherten Modus nicht.

06 ist auch im abgesicherten Modus nicht löschbar.

Kann das alles irgendwas mit "escan" oder "spybot" zu tun haben ?

An xp servicepack 2 trau ich mich nicht so richtig ran - ein Freund hatte damit ´nen Totalabsturz!

Hier das Logfile:
Logfile of HijackThis v1.99.1

[edit]
bitte editiere deine links zukünftig, wie es dir u.a. hier angezeigt wird:


http://www.trojaner-board.de/showpost.php?p=171957&postcount=1


danke
GUA
[/edit]

Geändert von GUA (21.10.2005 um 18:58 Uhr)

Antwort

Themen zu Smitfraud c. und Doubleclick ...
adobe, antivir, bho, dsl, ebay, entfernen, excel, explorer, fraud, hijack, hijackthis, homepage, immer wieder, internet, internet explorer, monitor, nvidia, object, outlook express, programme, rundll, smitfraud, software, symantec, system, toolbars, träge, tuneup utilities, unknown file in winsock lsp, windows, windows xp



Ähnliche Themen: Smitfraud c. und Doubleclick ...


  1. Werbung, vermutlich durch Okay Freedom und googleads.g.doubleclick.net
    Log-Analyse und Auswertung - 23.08.2015 (59)
  2. Frage zur f.txt von doubleclick.
    Plagegeister aller Art und deren Bekämpfung - 30.03.2015 (11)
  3. Doubleclick und Zedo lieferten virenverseuchte Werbung aus
    Nachrichten - 22.09.2014 (0)
  4. http://ad-emae.doubleclick.net/adi/N441
    Plagegeister aller Art und deren Bekämpfung - 18.09.2013 (8)
  5. Ungewollter Doppelklick / Maus klickt doppelt (Nicht doubleclick-tracker!)
    Plagegeister aller Art und deren Bekämpfung - 16.04.2013 (19)
  6. http://ad-emea.doubleclick.net
    Plagegeister aller Art und deren Bekämpfung - 01.02.2013 (9)
  7. Win32.BHO.acw, DoubleClick, SweetIM und Maleware.Packer.GenX gefunden
    Log-Analyse und Auswertung - 01.12.2012 (5)
  8. ad-emea.doubleclick.net
    Mülltonne - 27.11.2012 (1)
  9. ad.adserverplus, doubleclick, pup.blabbers
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (21)
  10. ad.adserverplus.com / ad.doubleclick.net
    Log-Analyse und Auswertung - 21.06.2012 (1)
  11. MediaPlex und DoubleClick Viren verfolgen mich
    Plagegeister aller Art und deren Bekämpfung - 19.10.2009 (6)
  12. Smitfraud
    Plagegeister aller Art und deren Bekämpfung - 29.03.2006 (1)
  13. Aggressive Cookies. (doubleclick. et cetera)
    Plagegeister aller Art und deren Bekämpfung - 05.03.2006 (9)
  14. smitfraud.c
    Plagegeister aller Art und deren Bekämpfung - 30.05.2005 (4)
  15. DoubleClick,MediaPlex,Hitbox...
    Plagegeister aller Art und deren Bekämpfung - 30.05.2005 (2)
  16. "DoubleClick" kennt den zufällig jemand?
    Plagegeister aller Art und deren Bekämpfung - 28.09.2004 (15)
  17. doubleclick
    Archiv - 08.01.2003 (3)

Zum Thema Smitfraud c. und Doubleclick ... - Spybot kann Smitfraud c. nicht entfernen und meldet 40 Einträge . (und Doubleclick kommt auch immer wieder). Logfile of HijackThis v1.99.1 Scan saved at 08:43:15, on 07.10.2005 Platform: Windows XP - Smitfraud c. und Doubleclick ......
Archiv
Du betrachtest: Smitfraud c. und Doubleclick ... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.