| |
| |||||||
Log-Analyse und Auswertung: Problem mit smitfraud Browser Hijacker entfernenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
09.02.2008, 12:59
| #1 |
| |  Problem mit smitfraud Browser Hijacker entfernen Hi, habe vor kurzem einen eScan gemacht und verschiedene Infektionsmeldungen bekommen. eScan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.6.3 Sprache: German Virus-Datenbank Datum: 2/3/2008 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "elite toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "elite toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen. System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\maus\Zeiger\dlh98.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei J:\System Volume Information\_restore{77EB78E9-445F-4705-ABF5-ACF74CE804D8}\RP44\A0005350.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\***\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\***\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen. Datei J:\System Volume Information\_restore{77EB78E9-445F-4705-ABF5-ACF74CE804D8}\RP44\A0005439.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\cmdlineext02.dll Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\cmdlineext02.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\downloads\antiware Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\downloads\antiware ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{96d651cf-b615-11dc-8cdd-806d6172696f} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Executable Command Found in F\Shell\AutoRun\command: F:\autoplay.exe Executable Command Found in {96d651cf-b615-11dc-8cdd-806d6172696f}\Shell\AutoRun\command: F:\autoplay.exe ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\***\LOKALE~1\Temp\a5stbdw7.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\***\LOKALE~1\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\IG2\addon_patch22_ger.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\IG2\IG2\IG2.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\IG2\IG2.7z nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\a5stbdw7.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Spiele\IndustrieGigant 2\ig2.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{77EB78E9-445F-4705-ABF5-ACF74CE804D8}\RP36\A0002316.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... J:\System Volume Information\_restore{77EB78E9-445F-4705-ABF5-ACF74CE804D8}\RP44\A0005013.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... J:\System Volume Information\_restore{77EB78E9-445F-4705-ABF5-ACF74CE804D8}\RP44\A0005361.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt... J:\System Volume Information\_restore{77EB78E9-445F-4705-ABF5-ACF74CE804D8}\RP44\A0005365.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 189516 Gefundene Viren: 12 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 91 Dauer des Scans bisher: 01:44:37 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 19:08:34,51 Batchende: 19:08:39,18 Ich wollte mithilfe der Anleitung zum "Automatische Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c" den "smitfraud Browser Hijacker" entfernen. Nachdem ich dies getan hatte, habe ich noch einmal einen eScan gemacht und auf einmal worden noch mehr Infektionsmeldungen angezeigt. Woran kann dies liegen? Sind dies Fehlermeldungen oder wirklich Schädlinge? Was soll ich tun? DANKE! neuer eScan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.6.3 Sprache: German Virus-Datenbank Datum: 2/8/2008 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "elite toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "elite toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/forceactivedesktopon)! Action taken: Keine Aktion vorgenommen. System found infected with mirar Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/classicshell)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\system/nodispcpl)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\system/nodispscrsavpage)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\system/nodispbackgroundpage)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\system/nodispsettingspage)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\system/novisualstylechoice)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\system/nosizechoice)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\system/nocolorchoice)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/nosavesettings)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\activedesktop/nocomponents)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\activedesktop/noeditingcomponents)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\activedesktop/nodeletingcomponents)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\activedesktop/noaddingcomponents)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\activedesktop/noclosedragdropbands)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\activedesktop/nohtmlwallpaper)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\activedesktop/nochangingwallpaper)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/nothemestab)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/noactivedesktop)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\maus\Zeiger\dlh98.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\***\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Ebbi\Eigene Dateien\Downloads\***\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\downloads\antiware Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\downloads\antiware ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{96d651cf-b615-11dc-8cdd-806d6172696f} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Executable Command Found in F\Shell\AutoRun\command: F:\autoplay.exe Executable Command Found in {96d651cf-b615-11dc-8cdd-806d6172696f}\Shell\AutoRun\command: F:\autoplay.exe ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\IG2\addon_patch22_ger.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\IG2\IG2\IG2.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\IG2\IG2.7z nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Adobe\Updater5\Install\reader8rdr-de_DE\AdbeRdr812_de_DE.msi nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Spiele\IndustrieGigant 2\ig2.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 181781 Gefundene Viren: 30 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 88 Dauer des Scans bisher: 01:31:14 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 12:34:32,26 Batchende: 12:34:48,31 |
|
15.02.2008, 17:58
| #2 |
| | Problem mit smitfraud Browser Hijacker entfernen Hallo,
__________________kann mir bitte jemand eine Antwort auf mein Problem geben! Vielen Dank!!!! |
|
15.02.2008, 18:28
| #3 |
| /// Helfer-Team    | Problem mit smitfraud Browser Hijacker entfernen Die Einträge in der Rubrik "Infektionsmeldungen" würde ich für Fehlalarme halten. In Bezug auf die Downloads und die temporären Dateien, die nicht gescannt wurden, ist naheliegenderweise keine Aussage möglich. Du wirst selbst wissen (müssen), ob du sie aus vertrauenswürdigen Quellen heruntergeladen hast.
__________________Hast du NetCat selbst installiert?
__________________ |
|
15.02.2008, 23:18
| #4 |
| | Problem mit smitfraud Browser Hijacker entfernen Netcat habe ich selbst installiert. Wie kann ich die Fehlermeldungen entfernen? Danke! |
|
15.02.2008, 23:22
| #5 |
| /// Helfer-Team | Problem mit smitfraud Browser Hijacker entfernen Indem du eScan nicht mehr nutzt.  Es ist nun mal so, dass dieses Programm regelmäßig Fehlalarme produziert, wohl um den Nutzer dazu zu bewegen, es zu kaufen. Denn die kostenlose Version kann Funde nicht entfernen, da muss schon die kostenpflichtige Variante her.Aber das ist Theorie; in deinem Fall sehe ich (mit den erwähnten Vorbehalten) keine Anzeichen für eine Infektion. edit: Der Vollständigkeit halber sei erwähnt, dass das keine Aussage darüber ist, ob dein Rechner tatsächlich frei von einer Infektion ist.
__________________ Alle Tipps und Anleitungen ohne Gewähr Geändert von Franz1968 (15.02.2008 um 23:30 Uhr) |
|
| Themen zu Problem mit smitfraud Browser Hijacker entfernen |
| .dll, 1.exe, adobe, auf einmal, autorun, backdoor, browser, c.exe, c:\windows\temp, dateisystem, drivers, einstellungen, entfernen, explorer, fehler, festplatte, fraud, hosts-datei, infiziert, internet, maus, maßnahme, nc.exe, object, problem, prozesse, registry, router, smitfraud, software, temp, viren, windows, windows xp, windows\system32\drivers, windows\temp |
